L’approche à risque zéro des autorités de confidentialité des données de l’Union européenne en matière d’utilisation de Google Analytics est erronée et politiquement motivée pour promouvoir les fournisseurs de technologies locaux, a déclaré un avocat spécialisé dans la confidentialité des données. Janvier du Contrôleur européen de la protection des données (CEPD) et de l’Autorité autrichienne de protection des données (APD) Décisions a lancé ce qui est maintenant devenu un effort coordonné par les APD de l’UE pour déclarer que l’utilisation de Google Analytics des sites Web n’est pas conforme au règlement général sur la protection des données ( Rgpd).
Les décisions font suite à 101 plaintes déposées par des militants de la protection de la vie privée noyb.eu affirmant que Google Analytics transfère les données personnelles des utilisateurs du site Web – adresses IP – aux États-Unis où les services de renseignement pourraient y accéder à des fins de surveillance. Un tel transfert ne serait pas conforme au RGPD en termes de décision Schrems II restreignant ces transferts de données personnelles, ont déclaré les APD de l’UE.
Google Analytics peut être mis en œuvre pour être conforme au RGPD, mais les APD de l’UE sont désormais d’avis que toute connexion aux États-Unis est interdite, a déclaré David Rosenthal, associé chez Vischer, un cabinet d’avocats à Bâle.
« Il ne s’agit pas vraiment de Google lui-même. Il s’agit de savoir comment gérer ces transferts vers les États-Unis. La décision autrichienne a fait un certain nombre d’hypothèses pour arriver à un résultat particulier qui, à mon avis, n’est pas le bon résultat », a-t-il déclaré.
Rosenthal a déclaré qu’il suppose que « de grandes parties de la décision autrichienne ont été préparées par le [European Data Protection Board] pour s’assurer que les différentes protections des données à travers le [European Economic Area (EEA)] suivra une approche unifiée » lorsqu’il répondra à noyb.eu plaintes.
L’analyse de l’autorité autrichienne visant à déterminer si les données de Google Analytics sont considérées comme des données personnelles est incorrecte, a déclaré Rosenthal. Par exemple, il est d’avis que « la simple capacité de distinguer les utilisateurs d’un site Web est suffisante pour qualifier les données d’utilisation de données personnelles ».
Ce n’est pas le cas, a déclaré Rosenthal. La Cour de justice de l’Union européenne a jusqu’à présent laissé ouverte la question de savoir si les cookies et leurs identifiants sont considérés comme des données personnelles.
« Je ne dis pas que Google est fantastique; Je ne dis pas que Google est mauvais. Mais si une autorité de protection des données doit modifier les règles établies telles que la définition des « données personnelles » afin de se prononcer contre Google, cela pose problème. Cela a des conséquences bien au-delà du cas individuel et ce n’est pas aux autorités de protection des données de faire de telles choses, même si elles estiment que cela sert un but juste », a déclaré Rosenthal.
« Les gens veulent que les sites Web qu’ils visitent soient bien conçus, faciles à utiliser et respectueux de leur vie privée. Google Analytics aide les éditeurs à comprendre dans quelle mesure leurs sites et applications fonctionnent bien pour leurs visiteurs, mais pas en identifiant les individus ou en les suivant sur le Web. Ces organisations, et non Google, contrôlent quelles données sont collectées avec ces outils et comment elles sont utilisées. Google aide en fournissant une gamme de garanties, de contrôles et de ressources pour la conformité », a déclaré un porte-parole de Google dans un communiqué envoyé par courrier électronique.
Confusion de Schrems II
Toute société basée aux États-Unis opérant dans l’EEE ou les sociétés ayant des activités aux États-Unis qui peuvent traiter les données des clients de l’UE doivent être au courant des décisions Google Analytics des APD.
« Pour les entreprises travaillant à l’échelle mondiale, le simple fait d’interdire par défaut tout traitement de données personnelles basé aux États-Unis, même si la décision pour un seul cas peut être compréhensible, n’est pas une option. Il doit y avoir une règle significative que les entreprises peuvent appliquer afin de permettre le traitement des données aux États-Unis. Le simple fait d’avoir les États-Unis sur la liste rouge n’aide pas vraiment », a déclaré Alberto Job, directeur de la gestion de l’information et de la conformité chez KPMG à Zurich.
Le Schrems II La décision rendue en juillet 2020 a invalidé l’accord d’adéquation entre l’UE et les États-Unis en matière de protection des données connu sous le nom de bouclier de protection des données, laissant les entreprises qui souhaitaient transférer des données de l’UE aux États-Unis devront s’appuyer sur l’utilisation de clauses contractuelles types, la garantie de la norme de protection des données de la partie destinataire étant laissée à la responsabilité de l’entreprise qui envoie les données. Une nouvelle version du bouclier de protection des données sera publiée cette année, mais les experts européens de la protection de la vie privée ne s’attendent pas à ce qu’elle résolve le problème de transfert de données aux États-Unis mis en évidence par la décision Schrems II.
Il existe de la confusion et des opinions divergentes au sein des APD quant à savoir si Schrems II et les décisions récentes constituent une interdiction de Google Analytics et du transfert de données aux États-Unis. Certains pensent que oui, mais d’autres pensent qu’il y a de la place pour une approche basée sur le risque, a déclaré Rosenthal.
« Il y a un grand groupe d’autorités de protection des données qui n’ont aucune idée de la façon de réagir.traiter avec Schrems II. Certains me disent qu’ils peuvent voir qu’il est irréaliste de dis-le est interdit d’avoir une connexion aux États-Unis, mais ils ne savent pas comment résoudre le problème autrement. Par conséquent, ils font peser la charge sur le secteur privé, qui doit dépenser beaucoup pour des analyses d’impact sur les transferts et des solutions alternatives, même lorsqu’il n’y a manifestement aucun risque pertinent d’accès légal étranger. C’est un gaspillage de ressources qui pourraient être dépensées pour mieux servir la protection des données », a déclaré Rosenthal.
Google Analytics peut être utilisé
Google Analytics peut être utilisé conformément au RGPD, a déclaré Rosenthal dans un papier définir sept mesures que les utilisateurs peuvent prendre pour empêcher le transfert de données vers les États-Unis.
Par exemple, les entreprises qui exécutent le logiciel doivent passer un contrat avec Google Ireland Ltd et non avec Google LLC. De cette façon, les données restent au sein de l’UE. Il existe d’autres mesures de configuration que les entreprises peuvent prendre, telles que l’activation de l’anonymisation IP, la désactivation de l’option de partage de données, pour prévenir les violations du RGPD.
« Si vous faites ce que je suggère, je crois, même selon [the DPA] arguments, il ne devrait pas y avoir de problème. Pourtant, je ne pense pas que tous seront convaincus. Nombreux sont ceux qui suivent une approche de « risque zéro » en ce qui concerne l’accès légal étranger, même s’il n’existe pas de « risque zéro » dans la vie ou dans le RGPD. D’après ce que je comprends en discutant avec les autorités de protection des données, certains pensent que tout type de connexion aux États-Unis est une fin de discussion », a déclaré Rosenthal.