Table des matières hide
1 Pratiques et juridictions connexes
2 Fond
3 Décision de l’APD autrichienne

Pratiques et juridictions connexes

L’autorité autrichienne de protection des données (la « DPA autrichienne ») a récemment publié une décision dans une affaire intentée contre un fournisseur de site Web autrichien et Google par l’organisation non gouvernementale cofondée par le militant de la protection de la vie privée Max Schrems, None of Your Business (« NOYB »). L’APD autrichienne a jugé que l’utilisation des cookies de Google Analytics par l’opérateur du site Web enfreint à la fois le chapitre V du règlement général de l’UE sur la protection des données (« RGPD »), qui établit des règles sur les transferts internationaux de données, et le Schrem II jugement de la Cour de justice de l’Union européenne.

La décision pourrait avoir des implications considérables dans d’autres États membres de l’UE et entraîner une interdiction de Google Analytics dans toute l’UE.

Fond

Le 17 août 2020, NOYB a déposé 101 plaintes identiques devant 30 autorités de protection des données de l’Espace économique européen (« EEE ») concernant l’utilisation de Google Analytics et de Facebook Connect par diverses entreprises. Les plaintes portaient sur la question de savoir si les transferts de données à caractère personnel de l’UE vers Google et Facebook aux États-Unis résultant de l’utilisation de cookies sont toujours autorisés après la Schrem II jugement. Le comité européen de la protection des données (« EDPB ») a ensuite créé un force d’intervention coordonner la réponse aux plaintes déposées par NOYB.

La décision de l’APD autrichienne est la première rendue concernant les 101 plaintes déposées par NOYB.

Publicité

Décision de l’APD autrichienne

Dans sa décision, l’APD autrichienne a conclu que l’utilisation de cookies Google Analytics par un site Web autrichien impliquait la collecte et le transfert ultérieur de données personnelles à Google aux États-Unis, y compris des numéros d’identification d’utilisateur uniques, des adresses IP et des paramètres de navigateur.

L’APD autrichienne a constaté que les clauses contractuelles types (« CSC ») conclues entre l’opérateur du site Web et Google n’offraient pas un niveau de protection adéquat dans le cadre du RGPD, car : (1) Google est considéré comme un fournisseur de services de communications électroniques et est donc soumis à la surveillance des agences de renseignement américaines en vertu de la loi américaine sur la surveillance (c’est à dire, FISA 702); et (2) les mesures de sauvegarde supplémentaires de Google n’ont pas été efficaces pour combler les lacunes en matière de protection juridique identifiées dans le Schrem II jugement. Les principaux points à retenir de la décision de la DPA autrichienne sont les suivants :

  • L’APD autrichienne a constaté que les mesures techniques mises en œuvre par Google, en plus des SCC, ne sont pas efficaces car elles n’éliminent pas la possibilité de surveillance et d’accès aux données personnelles par les agences de renseignement américaines. Selon la DPA autrichienne, le cryptage des données au repos n’est pas suffisant pour empêcher l’accès aux données personnelles par les autorités gouvernementales, tant que Google a la possibilité d’accéder aux données en texte brut. En outre, l’APD autrichienne a souligné que les mesures organisationnelles et contractuelles mises en œuvre par Google (y compris l’obligation (i) d’informer les personnes concernées des demandes d’accès gouvernementales, (ii) de publier des rapports de transparence, (iii) de maintenir une politique sur le traitement des demandes gouvernementales demandes d’autorité, et (iv) évaluer soigneusement chaque demande d’autorité gouvernementale) sont généralement insuffisants et inefficaces pour assurer un niveau adéquat de protection des données personnelles transférées aux États-Unis

  • L’APD autrichienne a rejeté l’argument selon lequel les données personnelles collectées via les cookies et ensuite transférées aux États-Unis ne concernaient pas ou n’identifiaient pas directement des individus spécifiques. L’APD autrichienne a constaté que les adresses IP et les identifiants en ligne sont considérés comme des données personnelles car ils permettent d’identifier les individus. Selon la DPA autrichienne, une identification réelle et immédiate n’est pas nécessaire pour que les données soient considérées comme identifiables. Selon la DPA autrichienne, le fait que les informations permettant l’identification d’un individu soient détenues par plusieurs parties prenantes, et non par une seule partie, est également sans incidence sur le caractère identifiable des données.

  • L’APD autrichienne a également rejeté l’argument selon lequel le chapitre V du RGPD et les CSC suivent une approche fondée sur le risque et que, dans ce cas, le risque pour les personnes concernées était faible, car la probabilité que le gouvernement américain ait accès aux données pertinentes était faible. .

  • L’APD autrichienne a cependant fait valoir que les règles du chapitre V du RGPD sur les transferts de données s’appliquent uniquement aux entités exportatrices de l’UE, et non aux importateurs américains. Ceci est conforme à la récente décision de l’EDPB des lignes directrices sur ce qui constitue un virement international en vertu du RGPD. L’APD autrichienne a donc conclu que la violation était imputable à l’exploitant du site Web et non à Google.

L’APD autrichienne a conclu qu’étant donné qu’aucun autre mécanisme de transfert de données disponible en vertu du chapitre V du RGPD ne pouvait être utilisé par l’opérateur du site Web pour transférer des données personnelles à Google aux États-Unis, il n’y avait pas un niveau de protection adéquat pour les données personnelles collectées via Google Analytics. cookies et transférés à Google aux États-Unis, constituant une violation de l’article 44 du RGPD.

En outre, l’APD néerlandaise a récemment publié une mise à jour de son guider sur la configuration des cookies de Google Analytics. Dans la mise à jour, l’APD néerlandaise fait référence à la décision de décembre 2021 de l’APD autrichienne et indique que l’APD néerlandaise enquête actuellement sur deux plaintes similaires concernant l’utilisation de Google Analytics aux Pays-Bas. L’APD néerlandaise déclare que ces enquêtes, qui devraient être achevées au début de 2022, aideront à déterminer si l’utilisation de Google Analytics est autorisée aux Pays-Bas.

Lis le Décision autrichienne du DPA (en allemand).

Copyright © 2022, Hunton Andrews Kurth LLP. Tous les droits sont réservés.Revue nationale de droit, volume XII, numéro 24

Rate this post
Publicité
Article précédentCorrection de l’utilisation élevée du processeur par le programme d’amorçage du client Steam sous Windows 11/10
Article suivantLes téléphones portables pourraient rendre les hommes stériles, préviennent les experts
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici