Après l'Autriche, la France et l'Italie, le Danemark est le quatrième pays à déclarer illégale l'utilisation de Google Analytics. Cette décision a été annoncée dans un communiqué de presse de la DPA elle-même (Datatilsynet) et est le résultat d'une approche coordonnée au niveau européen.
(Mise à jour : les autorités finlandaises et norvégiennes ont suivi l'exemple - bien que la décision norvégienne ne soit que préliminaire. L'autorité irlandaise de protection de la vie privée et le Conseil européen de la protection des données ont également adopté une position stricte sur les transferts de données dans une affaire très médiatisée impliquant Meta. Cette affaire s'est soldée par une amende record de 1,2 milliard d'euros et par le risque concret d'une panne de Facebook à l'échelle européenne. Pour en savoir plus sur cette affaire, consultez notre blog.)
Ce n'est pas la première fois que la DPA danoise publie une déclaration sur l'utilisation des produits Google. Il y a quelques mois, elle a déclaré que l'utilisation de Google Workspace (anciennement G-suite) par les municipalités était contraire au GDPR.
Dans la présente déclaration, la DPA danoise aborde l'utilisation de Google Analytics de manière spécifique et à une échelle beaucoup plus large.
Plongeons dans le vif du sujet !
- Déclaration de la DPA danoise
- Contexte du communiqué de presse
- Implications pour les organisations danoises
- Réflexions finales
Déclaration de la DPA danoise
L'autorité danoise de protection des données a examiné l'utilisation de Google Analytics dans un communiqué de presse et a pratiquement conclu qu'elle était illégale. Contrairement aux autres autorités de protection des données, l'autorité danoise de protection des données n'a pas agi sur la base d'une plainte, mais a examiné les transferts de données de GA à sa propre discrétion.
Elle a déclaré que le GDPR était destiné à protéger la vie privée des citoyens de l'UE. Cela signifie que vous devez pouvoir visiter un site web sans que vos données soient utilisées à mauvais escient. Dans cette optique, elle a examiné attentivement Google Analytics, en particulier, après les décisions antérieures d'autres États membres.
Après mûre réflexion, l'autorité danoise de protection des données est parvenue à la même conclusion que les autres États membres. Dans sa forme et ses paramètres actuels, l'utilisation de Google Analytics est contraire à la loi.
Elle a déclaré que vous devez cesser d'utiliser l'outil s'il est impossible de mettre en œuvre des mesures supplémentaires pour protéger la vie privée des visiteurs du site web. Si ce n'est pas possible, vous devez trouver un autre outil d'analyse qui soit conforme au GDPR et qui ne transfère pas de données vers des pays tiers "non sûrs" comme les États-Unis.
Lire la déclaration complète ici.
Contexte du communiqué de presse
Les transferts de données vers les États-Unis sont devenus beaucoup plus compliqués depuis la décision Schrems II. C'est une longue histoire, que vous pouvez découvrir ici. En bref, depuis Schrems II, des garanties supplémentaires doivent être mises en œuvre pour transférer des données vers les États-Unis.
Après Schrems II, Google Analytics a été critiqué par plusieurs autorités de protection des données pour ne pas avoir respecté les règles en matière de transfert de données. L'ONG de défense de la vie privée noyb a déposé 101 plaintes concernant des transferts de données à l'encontre de Google Analytics et de Facebook, et l'EDPB a créé un groupe de travail pour coordonner la réponse au niveau européen. Les autorités autrichiennes, françaises et italiennes de protection des données ont ainsi déclaré que l'utilisation de Google Analytics était illégale.
L'autorité danoise de protection des données suit maintenant le mouvement. Elle s'est penchée sur GA et a déclaré qu'il ne pouvait être utilisé sans la mise en œuvre de mesures supplémentaires complexes et coûteuses (un serveur proxy inverse). Concrètement, le Danemark est le quatrième pays à interdire Google Analytics.
Implications pour les organisations danoises
L'autorité danoise de protection des données a déclaré que Google Analytics n'était pas conforme aux règles de transfert des données, ce qui signifie qu'un responsable du traitement des données ne peut légalement l'utiliser que s'il protège les données à l'aide de mesures supplémentaires.
Le seul exemple offert par la DPA est une référence à la position de l'autorité française : vous pouvez utiliser GA si vous utilisez un serveur comme proxy inverse. Nous serions très surpris que quelqu'un le fasse. L'hébergement de GA sur votre propre serveur est coûteux et compliqué, ce qui va à l'encontre de l'objectif d'utilisation d'un outil d'analyse gratuit pour commencer !
Aucune autre mesure n'est suggérée, pour la bonne raison qu'il n'en existe pas. Ce communiqué de presse est, à toutes fins utiles, une interdiction.
La question de savoir si cette déclaration s'applique également à Google Analytics 4 fait l'objet d'un débat. La réponse courte est oui, elle s'applique à toutes les versions de Google Analytics. Nous avons écrit plus longuement sur Google Analytics 4 dans ce blog.
Réflexions finales
Les décisions récentes et le fait qu'un groupe de travail ait été créé au niveau européen font qu'il est fort probable que cette décision ne soit pas la dernière que nous ayons vue.
Les organisations devront repenser leurs pratiques commerciales en matière d'analyse web. Il s'agit d'un changement positif. Non seulement l'utilisation de Google Analytics est illégale, mais elle est également contraire à l'éthique à l'égard des visiteurs des sites web.
Les consommateurs exigent le respect de leur vie privée et ne veulent pas être suivis à la trace sur l'internet.
L'internet se portera mieux si les organisations s'adaptent et gèrent leurs activités sans s'appuyer sur des outils qui portent atteinte à la vie privée comme Google Analytics.
Nous pensons qu'il est possible de prendre des décisions adéquates basées sur les données d'un site web sans avoir besoin de collecter des données personnelles ou de tracer des individus.
C'est pourquoi nous avons créé Simple Analytics, une alternative à Google Analytics respectueuse de la vie privée qui, de par sa conception, n'utilise pas de cookies et ne collecte aucune donnée personnelle tout en fournissant les informations dont vous avez besoin.
Nous croyons en la création d'un web indépendant et convivial pour les visiteurs de sites web. Si cela vous parle, n'hésitez pas à nous essayer.