Dans le cadre d'une plainte toujours en cours, l'autorité norvégienne de protection des données (Datatilsynet) est parvenue à la conclusion préliminaire que "l'utilisation de Google Analytics était en violation des règles de transfert du GDPR". L'autorité a publié ses conclusions hier sur son site web (en norvégien uniquement) et prévoit d'adopter une décision finale "au plus tôt à la fin du mois d'avril".
Bien entendu, l'autorité pourrait parvenir à une conclusion différente en fin de compte. Mais nous avons de bonnes raisons de croire que ce ne sera pas le cas et que la Norvège pourrait bientôt rejoindre l'Autriche, la France, l'Italie, la Finlande et le Danemark et interdire pratiquement Google Analytics. Voici pourquoi.
(Mise à jour : une affaire très médiatisée de transfert de données impliquant Meta a été tranchée par l'autorité irlandaise de protection de la vie privée deux mois plus tard. En conséquence, Meta a été condamné à une amende de 1,2 milliard d'euros et risque actuellement un black-out de Facebook à l'échelle de l'UE. Les raisons de cette décision sont les mêmes que celles qui ont conduit à l'interdiction de Google Analytics. Nous avons examiné cette affaire importante en détail)
- Google Analytics et les transferts de données
- Qu'ont dit exactement les autres autorités ?
- Que peut-on attendre de la décision ?
- Vue d'ensemble
- Réflexions finales
Google Analytics et les transferts de données
Nous n'avons pas encore de décision, mais nous pouvons jeter un coup d'œil sur la situation dans son ensemble et émettre une hypothèse éclairée sur l'issue la plus probable et les raisons qui la sous-tendent.
Les problèmes juridiques de Google Analytics avec le GDPR ne sont pas nouveaux : comme nous l'avons noté, d'autres autorités de protection des données (DPA) ont déjà adopté une position ferme. La plupart de leurs décisions résultent d'un ensemble coordonné de plaintes déposées par l'ONG de défense de la vie privée noyb, dans le cadre d'un effort stratégique visant à inciter les autorités de protection des données à appliquer plus strictement les règles de transfert de données du GDPR et l'arrêt Schrems II de la Cour de justice de l'UE.
Les plaintes de Noyb sont toutes identiques. L'utilisation de Google Analytics nécessite le transfert de données personnelles (cookies et adresses IP) à Google LLC, basée en Californie. Or, ce transfert expose les données au risque de surveillance par l'État aux États-Unis. C'est pourquoi les données personnelles doivent être protégées par des garanties adéquates contre la surveillance, comme l'a établi la Cour de justice dans l'affaire Schrems II. Noyb affirme que les transferts de données ne sont pas assortis des garanties requises (appelées mesures supplémentaires dans le jargon). Cela rend l'utilisation de Google Analytics incompatible avec le GDPR et l'arrêt Schrems II. Jusqu'à présent, les** autorités** autrichiennes, françaises et italiennes ont donné raison à noyb, tandis que les autorités danoises et finlandaises ont adopté la même position dans des circonstances différentes.
(L'arrêt Schrems II et les transferts de données ne s'arrêtent pas là. Nous avons abordé ces sujets de manière plus approfondie sur un autre blog).
Qu'ont dit exactement les autres autorités ?
Pour être clair, toutes les plaintes et décisions concernent techniquement des sites web spécifiques. C'est pourquoi nous disons que Google Analytics est pratiquement interdit dans certains pays. En théorie, un autre site web pourrait utiliser Google Analytics en toute légalité en mettant en œuvre des mesures de protection différentes et plus efficaces.
Mais la théorie est le mot clé ici. Dans la pratique, il existe très peu de garanties contre la surveillance de l'État. Garantir la sécurité du transfert de données est difficile pour de nombreux services et pratiquement impossible pour Google Analytics, parce qu'il est construit autour de cookies et qu'il a besoin de traiter les identifiants de cookies en clair pour fonctionner(nous avons écrit plus à ce sujet).
Chaque décision équivaut donc pratiquement à une interdiction à l'échelle de l'État, ce qui explique pourquoi les problèmes juridiques de Google attirent beaucoup l'attention de la communauté de la protection de la vie privée.
Que peut-on attendre de la décision ?
Nous n'avons pas de boule de cristal, mais nous pouvons faire une supposition éclairée sur la base d'une vue d'ensemble.
Jusqu'à présent, les autorités ont traité les plaintes de noyb de la même manière. Cela s'explique par le fait qu'elles ont coordonné leur approche au niveau européen, comme le souligne le Datatilsynet lui-même dans son communiqué de presse. C'est pourquoi il est probable que l'autorité norvégienne se prononce finalement contre l'utilisation de Google Analytics.
Il convient de noter que le Datatilsynet traite la plainte comme une affaire transfrontalière. En pratique, cela signifie que d'autres autorités européennes peuvent jouer un rôle en soulevant des objections. Mais nous ne nous attendons pas à ce que cela se produise. L'année dernière, l'autorité française a également soumis sa décision contre Google Analytics à d'autres autorités, et aucune objection n'a été soulevée à l'époque.
Il convient également de mentionner que la Norvège n'est pas un pays de l'UE. En fait, la Norvège est soumise au GDPR parce qu'elle fait partie de l'Espace économique européen. Si la décision du Datatilsynet était confirmée, la Norvège deviendrait le premier pays non membre de l'UE à se prononcer contre Google Analytics sur la question des transferts de données.
Vue d'ensemble
Il existe de nombreuses alternatives à Google Analytics qui respectent la vie privée, et Simple Analytics est l'une d'entre elles. Nous pensons qu'une interdiction de Google Analytics n'est pas la fin du monde.
Mais le problème des transferts de données ne se limite pas à Google Analytics. De nombreux services basés aux États-Unis nécessitent des transferts de données à caractère personnel et risquent de se retrouver sous le feu des critiques. Il est relativement facile de se débarrasser de Google Analytics (bonjour Simple Analytics), mais c'est une autre histoire que de se passer de services tels qu'Oracle et AWS.
C'est pourquoi les États-Unis et la Commission européenne ont négocié un nouveau cadre pour faciliter les transferts de données et ont pris des mesures pour le mettre en œuvre. En décembre 2022, la Commission a rédigé une décision d'adéquation pour les États-Unis - essentiellement une décision qui facilite grandement les transferts de données avec un pays spécifique. Cette décision doit encore être approuvée par les États membres et sera certainement contestée devant les tribunaux.
Il convient de noter que la Cour de justice de l'UE a déjà invalidé deux décisions d'adéquation pour les États-Unis dans les affaires Schrems I et II. Il est difficile de dire comment se déroulera une affaire "Schrems III". Pour l'instant, l'avenir des transferts de données reste incertain.
Réflexions finales
Même histoire. Pays différent. Il n'y a rien de nouveau à voir ici, car nous avons vu différents pays de l'UE parvenir à la même conclusion que les autorités norvégiennes. Cependant, chaque pays prenant position contre Google Analytics renforce la nécessité d'améliorer la protection des données. Google a répondu à l'appel de plus en plus pressant en faveur d'une plus grande protection de la vie privée en passant à GA4. Cependant, GA4 ne résout pas ce problème.
Chez Simple Analytics, nous avons également répondu à l'appel en faveur d'une plus grande confidentialité, et nous résolvons ce problème. Nous sommes une petite équipe indépendante qui croit fermement qu'Internet devrait être un endroit qui respecte la vie privée. Il est certainement possible d'obtenir les informations dont vous avez besoin tout en étant 100% conforme au GDPR sans avoir besoin d'un cookiebanner. Vous n'êtes pas convaincu ? N'hésitez pas à l'essayer par vous-même.