L'année 2022 a été une année chaude en matière de protection des données, les autorités de contrôle ayant rendu des décisions à l'encontre de Google Analytics à tout bout de champ. Nous avons fait de notre mieux pour vous tenir au courant de tous les événements actuels, mais même pour nous, il est difficile de tout suivre. Voici un aperçu de la longue affaire des transferts de données, depuis Schrems II en 2020 jusqu'à aujourd'hui. L'objectif est de mieux comprendre où nous en sommes aujourd'hui et peut-être d'avoir un petit aperçu de ce qui nous attend.
- Calendrier
- Les transferts de données en bref
- Schrems II et Privacy Shield
- Les 101 plaintes de Noyb et le groupe de travail de l'EDPB
- L'Autriche, la France et l'Italie interdisent Google Analytics
- Le CEPD réprimande le Parlement européen
- L'Irlande (DPC) ordonne à Meta de suspendre les transferts de données
- La chambre des marchés publics du Bade-Wurtemberg
- La décision de l'autorité danoise de protection des données
- Les négociations sur l'accord de transfert de données
- Mises à jour
- Réflexions finales
Entrons dans le vif du sujet !
Calendrier
- Juillet 2020 : la CJUE rend la décision préjudicielle Schrems II
- Août 2020 : noyb dépose les 101 plaintes
- Septembre 2020 : le Comité européen de la protection des données met en place un groupe de travail
- Décembre 2021 : décision de l'autorité autrichienne de protection des données
- Janvier 2022 : décision du Contrôleur européen de la protection des données
- Février 2022 : décision de l'autorité française de protection des données
- Juin 2022 : décision de l'autorité italienne de protection des données
- Juillet 2022 : l'autorité irlandaise de protection des données annonce un projet de décision suspendant les transferts de données de Meta Ireland
- Juillet 2022 : l'autorité allemande chargée des marchés publics juge illégal le transfert de données vers les États-Unis
- Juillet 2022 : décision de l'autorité danoise de protection des données
Les transferts de données en bref
Avant de nous plonger dans la décision Schrems II, nous avons besoin d'un peu de contexte. En vertu du GDPR, les transferts de données en dehors de l'EEE ne sont possibles que si les données à caractère personnel sont protégées de manière adéquate. Cette protection peut être assurée de deux manières :
- En transférant les données vers un pays tiers couvert par une "décision d'adéquation". Il s'agit d'une décision de la Commission européenne : la Commission évalue les règles de protection des données dans un pays tiers et donne son feu vert aux transferts de données vers ce pays. Les décisions d'adéquation constituent le mécanisme le plus simple et le moins contraignant pour le transfert de données, mais elles n'ont été adoptées que pour un nombre limité de pays.
- Par le biais de clauses contractuelles types (CSC) élaborées par la Commission européenne, qui doivent être incorporées dans un accord juridiquement contraignant avec le responsable du traitement des données. Lorsqu'elles transfèrent des données sur la base des CSC, les entreprises doivent évaluer si les clauses fonctionnent réellement dans le pays tiers. En d'autres termes, l'exportateur de données ne peut pas se contenter d'incorporer les CSC dans l'accord de traitement des données et s'en tenir là, mais il doit s'assurer que les CSC offrent une protection adéquate dans la pratique et mettre en œuvre des garanties supplémentaires si nécessaire.
Schrems II et Privacy Shield
Une "décision d'adéquation" était disponible pour les États-Unis, sur la base d'un accord de transfert de données connu sous le nom de Privacy Shield. Toutefois, dans l'affaire Schrems II, la Cour de justice a estimé que le Privacy Shield ne garantissait pas une protection suffisante des données à caractère personnel et a invalidé la décision d'adéquation.
Toutefois, la Cour a souligné que des garanties supplémentaires pour les transferts de données vers les États-Unis sont nécessaires lorsque l'on s'appuie sur les CSC : sans ces garanties, les transferts fondés sur les CSC sont illégaux. Fournir ces garanties pour un transfert de données vers les États-Unis n'est pas une tâche facile, car de nombreuses entreprises américaines (y compris Google et Meta) sont considérées comme des "fournisseurs de communications électroniques" en vertu de la législation américaine en matière de surveillance. Cela signifie qu'elles doivent se conformer à toute demande de données émanant de la NSA.
Malheureusement, une entreprise ne peut pas faire grand-chose pour garantir une protection adéquate des données dans ce scénario. En outre, les géants de la technologie tels que Google, AWS et autres s'appuient généralement sur des contrats standard, à prendre ou à laisser, pour leurs activités, ce qui ne laisse à leurs clients aucune marge de manœuvre pour négocier des clauses de sauvegarde supplémentaires.
Dans ce scénario délicat, certaines entreprises ont adopté une approche fondée sur le risque : elles affirment essentiellement que leurs transferts sont sûrs parce qu'il est peu probable que les données qu'elles exportent soient effectivement visées par une ordonnance de la FISA - même si cela est théoriquement possible. Comme nous l'avons vu, certaines autorités de protection des données ont commencé à rejeter cette approche.
Les 101 plaintes de Noyb et le groupe de travail de l'EDPB
Au cours de l'été 2020, juste après l'arrêt Schrems II, Noyb a déposé 101 plaintes auprès de diverses autorités de contrôle européennes. Noyb est une ONG de défense de la vie privée présidée par Max Schrems (oui, le gars de Schrems II). Les 101 plaintes sont centrées sur les transferts de données et ne visent pas directement Facebook ou Google : elles sont dirigées contre des sites web d'organes de presse en ligne ou de sociétés commerciales utilisant Meta ou Google comme processeurs de données.
Toutes les plaintes ont un contenu similaire et représentent une stratégie visant à inciter les autorités européennes de protection des données (les autorités de protection des données de chaque pays) à appliquer plus rigoureusement le GDPR en ce qui concerne les transferts de données.
En résumé, les sites web utilisent les sociétés européennes Google Ireland/Meta Platforms Ireland comme sous-traitants de données, qui à leur tour s'appuient sur leurs sociétés mères aux États-Unis pour traiter les données (c'est-à-dire qu'elles sont des sous-traitants secondaires dans le jargon juridique). Noyb considère que les transferts de données entre Google Ireland/Meta Platforms Ireland et leurs sociétés mères sont illégaux au regard du GDPR et affirme que les entreprises ne devraient pas être autorisées à utiliser des services qui nécessitent de tels transferts (tels que Google Analytics).
En septembre 2020, le Conseil européen de la protection des données (CEPD) a annoncé la création d'un groupe de travail chargé de traiter les 101 plaintes déposées par le noyb. Peu de détails sur les travaux du groupe de travail ont été rendus publics, mais nous savons que les autorités de protection des données ont travaillé à la recherche d'une approche cohérente pour traiter les plaintes. On ne saurait trop insister sur l'importance de ce point : les décisions récentes qui ont fait la une de l'actualité reflètent une approche coordonnée, ce qui rend d'autant plus probable que d'autres autorités de surveillance suivront cet exemple.
L'Autriche, la France et l'Italie interdisent Google Analytics
La première décision concernant les 101 plaintes a été rendue en décembre 2021 par l'autorité autrichienne de protection des données (DSB). Deux autres plaintes ont été retenues en 2022 par deux des autorités de contrôle les plus influentes et les plus respectées d'Europe : la CNIL française et la Garante italienne.
Les similitudes entre les décisions reflètent clairement une approche commune de l'application du chapitre V du GDPR :
- L'approche des transferts de données fondée sur les risques a été explicitement rejetée.
- Les garanties supplémentaires mises en place par Google ont été jugées insuffisantes. Il s'agit notamment du cryptage (non de bout en bout) des données stockées, les clés de décryptage étant détenues par Google et pouvant être demandées par les agences américaines en vertu d'une ordonnance de la FISA, en même temps que les données ciblées.
- L'option d'anonymisation IP de Google Analytics a été considérée comme une forme de pseudonymisation plutôt que comme une anonymisation complète. Cela signifie que l'adresse IP des utilisateurs du site est toujours considérée comme une donnée personnelle, même lorsqu'elle est "anonymisée" par Google.
- Aucune amende n'a été infligée. Les autorités chargées de la protection des données cherchent avant tout à préciser que les règles relatives aux transferts de données seront appliquées de manière plus stricte à l'avenir. Pour l'instant, elles ne cherchent pas à punir les entreprises tant qu'elles prennent au sérieux les observations du superviseur et qu'elles suppriment rapidement Google Analytics après le dépôt de la plainte.
Le CEPD réprimande le Parlement européen
En janvier 2022, le Contrôleur européen de la protection des données a réprimandé le Parlement européen pour avoir incorporé des cookies de Google Analytics et de Stripe (une société de paiement) dans un site web sans en informer les utilisateurs et sans recueillir leur consentement.
Il s'agissait d'un site web interne de dépistage du coronavirus destiné aux membres du Parlement européen. Le Parlement a externalisé le développement du site, et les développeurs ont copié-collé une partie du code d'un autre site web qu'ils avaient développé, y compris des fonctionnalités analytiques inutiles.
La décision du CEPD n'a abordé que brièvement la question des transferts de données, notant l'absence totale de garanties à cet égard. Cependant, elle n'a pas attiré autant d'attention que les 101 plaintes.
L'Irlande (DPC) ordonne à Meta de suspendre les transferts de données
En juillet 2022, l'autorité irlandaise de protection des données (DPC) a annoncé un projet de décision ordonnant à Meta Ireland de suspendre les transferts pour ses services Facebook et Instagram. Ce projet est le résultat d'une longue enquête de la DPC. Le projet n'est pas accessible au public, mais la question centrale de la décision est le transfert de données à caractère personnel sur la base des CSC.
L'affaire Meta est loin d'être terminée. La décision fait partie d'une procédure complexe impliquant l'EDPB, et d'autres DPA européennes pourraient soulever des objections, ce qui retarderait encore le processus. Toutefois, l'annonce est tout à fait significative.
De nombreuses entreprises américaines (dont Meta et Google) ont leur établissement européen ou des entreprises dérivées en Irlande, et la DPA irlandaise est quelque peu laxiste en ce qui concerne le contrôle de ces entreprises. Un ordre de suspension des transferts émanant d'un superviseur notoirement laxiste pourrait signifier l'avènement d'une ère d'application plus stricte des règles de transfert prévues par le GDPR, qui pourrait concerner d'innombrables services et entreprises, dont Google et Google Analytics.
La chambre des marchés publics du Bade-Wurtemberg
Une autre affaire intéressante a été jugée en juillet 2022. L'affaire concernait une procédure de passation de marché public pour un logiciel de gestion numérique. L'entreprise retenue devait faire appel à AWS Europe (Amazon Web Service EMEA SARL) en tant que sous-traitant. Alors que les données étaient entièrement localisées dans l'UE, la société mère américaine AWS Inc. pouvait accéder aux données à caractère personnel afin de "maintenir et fournir le service" et de "se conformer à la loi ou à un ordre valide et contraignant d'un organe gouvernemental".
La Chambre des marchés publics a estimé que cette divulgation constituait un transfert de données au sens du GDPR. La Chambre a également estimé que le transfert de données était illégal, étant donné que les garanties supplémentaires en place étaient insuffisantes et que les CSC n'assuraient pas, à elles seules, une protection suffisante.
La décision elle-même est loin d'être claire. L'autorité de décision n'est pas une autorité de protection des données et n'est généralement pas impliquée dans l'interprétation du GDPR. Des points très importants de la décision sont à peine évoqués, laissant au lecteur le soin de déduire le raisonnement. Cela étant dit, cette décision pourrait être le signe qu'une position dure sur les transferts de données commence à être adoptée en dehors des limites étroites de la législation sur la protection des données au sens strict, et qu'elle gagne du terrain dans le paysage juridique au sens large.
La décision de l'autorité danoise de protection des données
Le dernier chapitre de l'histoire est une décision de l'autorité danoise de protection des données (Datatilsynet). En juillet 2022, le superviseur a interdit à la municipalité d'Helsingør d'utiliser Google Workspace dans les écoles. Bien que l'autorité de protection des données ait mis en évidence plusieurs problèmes liés à la protection de la vie privée, les transferts de données ont été au cœur de la décision.
Les opérations de traitement impliquaient à la fois la société mère Google LLC et la société irlandaise Google Cloud EMEA Ltd. En l'espèce, la municipalité utilisait un paramètre de localisation des données disponible sur Google Workspace. Par conséquent, toutes les données étaient stockées sur des serveurs européens par Google Cloud EMEA, et Google LLC ne s'occupait que de l'assistance technique. Cependant, pour que Google LLC puisse fournir une assistance, Google Cloud EMEA devait transférer des données dans le cadre des CSC, y compris des données à caractère personnel accessibles en texte clair. La DPA a estimé que ce transfert ne présentait pas de garanties suffisantes et l'a interdit.
Le DSB a averti que les mêmes conclusions s'appliqueraient probablement à d'autres municipalités utilisant Google Workspace. Le superviseur s'occupe de ces affaires au moment où nous écrivons ces lignes, et des décisions similaires suivront probablement.
Il est à noter que l'affaire ne concernait pas Google Analytics et que la DPA danoise n'a pas été impliquée dans les 101 plaintes. Cette décision pourrait être le signe que l'approche dure qui a débuté avec les plaintes 101 gagne du terrain dans d'autres affaires également. Si tel était le cas, l'affaire serait bien plus importante que "l'interdiction de Google Analytics".
Les négociations sur l'accord de transfert de données
La Commission européenne et les États-Unis négocient actuellement un nouvel accord sur les transferts de données. Cet accord sera probablement contesté devant la Cour de justice.
En l'absence de document juridique, il est difficile de prédire le résultat d'un éventuel arrêt "Schrems III". Mais nous savons que les États-Unis ne travaillent pas à une réforme législative de la surveillance de l'État - en fait, le premier projet de loi fédéral sur la protection de la vie privée a été proposé au Congrès au moment où nous écrivons ces lignes, et le projet ne limite pas les pouvoirs de surveillance de la NSA dans le cadre de la FISA. Il est difficile de dire si une tentative de réforme de la surveillance par l'État satisfera la Cour de justice de l'UE sans modification du droit statutaire.
Mises à jour
En octobre 2022, le président américain Joe Biden a signé un décret sur les activités des agences de surveillance, qui constitue une étape vers un nouveau cadre de transfert de données entre l'UE et les États-Unis (le cadre transatlantique de protection des données).
Deux mois plus tard, la Commission européenne a publié son projet de décision d'adéquation pour les États-Unis. L'approbation du projet par les États membres est très probable, malgré l'avis négatif du Parlement européen.
Noyb a annoncé qu'elle allait contester la décision d'adéquation devant la Cour de justice. On peut donc s'attendre à ce que "Schrems III" soit le baptême du feu du nouveau cadre - et il est difficile de dire comment cela se passera.
Une partie du secteur espérait que le travail politique autour du nouveau cadre de transfert des données mettrait fin à l'application de Schrems II, ou du moins la ralentirait. Mais cela n'a pas été le cas.
Entre-temps, l'autorité danoise de protection des données a publié un communiqué de presse qui adopte essentiellement la même position dure sur les transferts de données que ses homologues autrichiens, français et italiens. Les autorités finlandaises et norvégiennes se sont également prononcées contre Google Analytics (bien que la décision norvégienne soit encore préliminaire).
Enfin, l'autorité irlandaise de protection des données a infligé à Meta une amende record de 1,2 milliard d'euros pour des transferts de données et lui a ordonné de cesser tout transfert de données à caractère personnel vers les États-Unis pour ses plateformes sociales Facebook. En conséquence, Meta est maintenant confrontée au risque d'un black-out de Facebook à l'échelle européenne. Il s'agit d'une décision très importante, qui implique directement l'EDPB, et nous en avons bien sûr discuté en profondeur.
Réflexions finales
Le système d'application du GDPR est un mécanisme complexe impliquant plusieurs acteurs : les superviseurs nationaux, l'EDPB, les tribunaux nationaux des États membres et la Cour de justice de l'UE. Prédire l'orientation future de l'application du GDPR n'est pas une tâche facile, mais tous les signes semblent pointer dans une direction. Une ère d'application stricte des règles sur les transferts de données est probablement en train de s'ouvrir, et il est temps de se préparer pour garder une longueur d'avance.
Les récentes décisions des États membres de l'UE (France, Autriche et Italie) s'inscrivent dans le cadre d'une approche coordonnée. C'est pourquoi nous nous attendons à ce que d'autres membres de l'UE fassent de même.
Les organisations doivent s'adapter et être prêtes à naviguer dans cet environnement commercial changeant. Elles doivent déterminer les données dont elles ont réellement besoin pour prendre des décisions et les collecter de manière éthique. C'est possible, et vous serez surpris de voir combien de données sont collectées pour le plaisir de collecter des données.
Nous pensons qu'il ne s'agit pas seulement de respecter la loi. Cela va plus loin. Nous croyons en la création d'un web indépendant et convivial pour les visiteurs des sites web. C'est pourquoi nous avons conçu Simple Analytics sans mécanisme de suivi ni capacité à collecter des données personnelles, tout en vous donnant les informations dont vous avez besoin. Si vous vous sentez concerné, n'hésitez pas à nous essayer.