Google Analytics a fait la une de l'actualité en matière de protection de la vie privée ces derniers temps. L'Autriche, la France, l'Italie, le Danemark et la Finlande ont pris position contre Google Analytics, et l'autorité norvégienne de protection des données s 'est également prononcée provisoirement contre Google Analytics dans une affaire encore en cours. Ces décisions s'inscrivent dans le cadre d'un effort coordonné au niveau européen et sont en préparation depuis longtemps.
GA est l'outil d'analyse par défaut, utilisé par 55 % des sites web. Il est depuis longtemps en situation de monopole sur le marché de l'analyse web et ses démêlés avec la justice font des vagues dans le paysage marketing européen. Dans ce climat de panique générale, il peut être difficile de comprendre ce que les autorités européennes décident exactement. Google Analytics est-il vraiment illégal en Europe ?
- Le contexte de Google Analytics et du GDPR
- Qu'ont dit les autorités ?
- Où Google Analytics est-il illégal ?
- Dans quels autres cas Google Analytics sera-t-il illégal ?
- Qu'en est-il du nouveau cadre pour le transfert de données ?
- Mises à jour
- Réflexions finales
Entrons dans le vif du sujet !
Le contexte de Google Analytics et du GDPR
Google Analytics a été critiqué parce qu'il nécessite le transfert de données personnelles vers les États-Unis pour traitement. Les transferts de données vers les États-Unis constituent actuellement un casse-tête juridique. C'est une longue histoire, que vous pouvez lire ici. En bref :
- L'arrêt Schrems II de la Cour de justice impose aux entreprises de mettre en œuvre des garanties adéquates (communément appelées mesures supplémentaires) lors du transfert de données vers les États-Unis afin de protéger les données contre la surveillance de l'État.
- L'ONG noyb a déposé 101 plaintes contre Google Analytics et Facebook Connect pour inciter les autorités européennes à appliquer plus strictement l'arrêt Schrems II.
- Le conseil des autorités européennes de contrôle (EDPB) a coordonné la réponse aux plaintes au niveau européen.
- Plusieurs autorités européennes de protection des données (DPA) ont "banni" GA de leurs pays respectifs1.
Qu'ont dit les autorités ?
Les plaintes et les décisions concernant Google Analytics sont très similaires. Voici comment elles se sont déroulées jusqu'à présent :
- Une personne concernée représentée par noyb a affirmé qu'un site web utilisant GA avait transféré ses données personnelles aux États-Unis sans garanties efficaces
- Le propriétaire du site web a protesté en affirmant que les garanties mises en place dans les conditions de service de l'AG étaient suffisantes.
- L'autorité de protection des données a examiné les garanties et a conclu qu'elles étaient inefficaces contre la surveillance de l'État.
- L'autorité de protection des données a ordonné au site web de cesser d'utiliser l'AG (ou de mettre en œuvre des mesures de protection plus strictes, ce qui est impossible).
Selon l'affaire Schrems II, les mesures complémentaires pour les transferts de données doivent être évaluées au cas par cas. Une autorité de protection des données ne peut donc pas déclarer Google Analytics illégal en soi parce que, en théorie, un autre site web pourrait mettre en œuvre des mesures de protection plus strictes et utiliser l'analyse générale en toute légalité.
Le mot clé est "théorie". Dans la pratique, les mesures supplémentaires sont choisies par Google et acceptées par toute entreprise acceptant les conditions générales d'utilisation de GA. Étant donné que toutes les entreprises acceptent exactement les mêmes conditions d'utilisation, les mesures supplémentaires sont toujours les mêmes. Si une autorité de protection des données estime que les mesures sont inadéquates dans un cas particulier, elle fera de même dans les cas suivants, car tous les cas sont des copies conformes les uns des autres.
Mais un site web ne peut-il pas mettre en œuvre ses propres mesures complémentaires en plus de celles de Google ? Malheureusement, ce n'est pas le cas. Il existe très peu de mesures de protection efficaces contre la surveillance de l'État, et aucune d'entre elles ne peut être utilisée pour Google Analytics (nous en avons parlé plus en détail dans notre blog sur les transferts de données). Un serveur proxy pourrait être une solution efficace, mais il limite considérablement les capacités analytiques de GA et sa mise en œuvre est fastidieuse.
En résumé : les décisions concernent des sites web spécifiques, mais comme tous les sites web utilisent les mêmes garanties, chaque décision crée un précédent général qui équivaut pratiquement à une interdiction à l'échelle de l'État.
Où Google Analytics est-il illégal ?
Jusqu'à présent, trois autorités chargées de la protection des données se sont prononcées contre Google Analytics : le DSB autrichien, la CNIL française et le GPDP italien. Cela signifie que Google Analytics est pratiquement interdit en Autriche, en France et en Italie. Il convient de noter que la CNIL et le GPDP sont très influents au niveau européen : s'ils adoptent l'approche coordonnée par le groupe de travail de l'EDPB, d'autres autorités de protection des données suivront probablement leur exemple.
La situation italienne est particulière. Dans un communiqué de presse publié à la suite de sa première décision contre l'AG, l'autorité italienne de protection des données a averti qu'elle enquêterait davantage sur l'utilisation des outils d'analyse (en particulier l'AG) pour les responsables italiens du traitement des données, y compris les administrations publiques. En outre, le groupe d'hacktivistes MonitoraPA (qui se traduit par surveillance de l'administration publique) a envoyé des courriels à des milliers d'entreprises publiques et privées pour leur demander de cesser d'utiliser Google Analytics et Google Fonts, en menaçant d'intenter une action en justice devant l'autorité de protection des données. L'initiative de MonitoraPA est quelque peu controversée et fait l'objet de nombreuses discussions au sein de la communauté italienne de protection de la vie privée et parmi les professionnels du marketing.
Concrètement, Google Analytics est également interdit au Danemark. L'autorité danoise de protection des données n'a pas été impliquée dans les 101 plaintes et n'a réglé aucune affaire concernant l'AG. Elle a examiné les GA de son propre chef après que d'autres DPA se sont prononcées contre les GA et a déclaré dans un récent communiqué de presse qu'ils ne peuvent pas être utilisés légalement à moins que des mesures supplémentaires efficaces ne soient mises en œuvre. Le seul exemple fourni est une référence à la suggestion de la CNIL et de l'EDPB de mettre en place un serveur proxy afin d'anonymiser toutes les données personnelles. Cette solution est très complexe et son coût est prohibitif pour la plupart des entreprises.
La question de savoir si les déclarations s'appliquent à toutes les versions de Google Analytics ou seulement à la version actuelle (Universal Analytics) fait l'objet d'un débat. La réponse courte est qu'elle s'applique à chaque configuration ou version de Google Analytics. Nous en avons parlé plus en détail dans ce blog.
Dans quels autres cas Google Analytics sera-t-il illégal ?
Les plaintes de Noyb ont été déposées auprès de toutes les autorités européennes de protection des données. Aucun détail n'est connu pour l'instant, mais comme nous l'avons expliqué, certaines autorités de protection des données suivront probablement l'exemple de l'Autriche, de la France et de l'Italie.
Notamment, dans un communiqué de presse publié en janvier, l'autorité néerlandaise de protection des données a annoncé qu'elle enquêtait sur deux contrôleurs pour avoir utilisé l'AG et qu'elle pourrait se prononcer contre l'AG en 2023. Aucun autre détail sur ces affaires n'est disponible pour le moment.
Il convient de mentionner que l'autorité irlandaise de protection des données a rédigé un projet de décision visant à mettre fin aux transferts de données de Meta Platform Ireland vers Meta aux États-Unis. Le projet a été soumis à l'EDPB, de sorte que l'issue de l'affaire est encore incertaine. L'affaire n'implique pas Google, mais les problèmes fondamentaux liés aux transferts de données de Meta sont les mêmes que ceux analysés par les autorités de protection des données dans les plaintes déposées par noyb, de sorte que l'affaire pourrait constituer un précédent important pour d'autres entreprises, y compris Google. Un précédent irlandais serait important car de nombreuses multinationales technologiques américaines ont des succursales européennes en Irlande.
Qu'en est-il du nouveau cadre pour le transfert de données ?
Récemment, le président américain Joe Biden a publié un décret sur les programmes de surveillance américains. L'objectif est de réduire les pratiques de surveillance américaines et de mettre en place un nouveau cadre pour le transfert des données.
Il ne s'agit pas du premier cadre de transfert de données entre les États-Unis et l'Union européenne. Il en existait deux plus anciens (Safety Harbor et Privacy Shield), que la CJUE a invalidés dans les arrêts Schrems I et II en raison de préoccupations liées à la surveillance. Le nouveau cadre sera certainement contesté devant la Cour, probablement par Schrems lui-même et noyb. C'est la raison pour laquelle le nouveau décret traite des pratiques de surveillance : le président tente de résoudre les problèmes mis en évidence dans l'arrêt Schrems II afin que le nouveau cadre puisse survivre à l'arrêt Schrems III.
Les responsables du traitement des données ne pourront pas s'appuyer sur le nouveau cadre de transfert des données tant que la Commission européenne n'aura pas adopté une décision d'adéquation. Il est presque certain que cela se produira, mais on ne sait pas exactement quand - cela prendra probablement plusieurs mois. Et surtout, la décision d'adéquation devra survivre à une décision Schrems III ultérieure, ce dont nous doutons.
Mises à jour
Le nouveau cadre pour le transfert de données est en route. En décembre 2022, la Commission européenne a publié un projet de décision d'adéquation. Ce projet doit encore être voté par les États membres. Une fois approuvé, les États-Unis seront considérés comme une destination sûre pour les transferts de données. Malgré l'avis négatif du Parlement européen, l'approbation du projet est tout à fait probable - mais il en va de même pour la contestation juridique devant la Cour de justice, comme nous l'avons dit.
En juillet, le travail politique autour du futur cadre de transfert de données entre l'UE et les États-Unis n'a pas mis fin à la tendance à l'application stricte des règles de transfert de données par les autorités européennes. Les autorités finlandaises et norvégiennes chargées de la protection de la vie privée se sont également prononcées contre Google Analytics (bien que la décision norvégienne ne soit que préliminaire).
En outre, l'autorité irlandaise de protection de la vie privée a infligé à Meta une amende record de 1,2 milliard d'euros pour des transferts illégaux de données vers les États-Unis et a ordonné à l'entreprise de cesser les transferts de données pour Facebook (ce qui implique la possibilité très réelle d'un black-out de Facebook pour l'Europe dans les prochains mois). L'implication directe du Comité européen de protection des données dans l'affaire Meta montre que, plus que jamais, les autorités chargées de la protection de la vie privée ont une position claire et commune sur les transferts de données, ce qui n'est pas une bonne nouvelle pour Google Analytics.
Pour en savoir plus sur l'affaire Meta, cliquez ici.
Réflexions finales
Il est difficile de dire aujourd'hui comment Schrems III va se dérouler. Le nouveau décret et l'issue possible de Schrems III seront un sujet brûlant dans la communauté de la protection de la vie privée pour les mois à venir.
Que la décision d'adéquation survive ou non à Schrems III, Google Analytics est un outil qui porte atteinte à la vie privée. D'un point de vue éthique, nous pensons que Google ne contribue pas à la création d'un web indépendant et convivial pour les visiteurs des sites web. Et pourquoi le ferait-il ? Google Analytics lui rapporte des milliards.
C'est la raison pour laquelle nous avons créé Simple Analytics. Un outil d'analyse web qui vous fournit les informations dont vous avez besoin sans aucun suivi ni collecte de données personnelles.
N'hésitez pas à nous essayer si vous souhaitez soutenir une entreprise indépendante qui s'efforce de créer un site web convivial pour les visiteurs.
1 : Le gpdrhub propose des résumés des décisions autrichienne, française et italienne.