Selon l’association Noyb et le DSB, l’Autorité autrichienne de protection des données, l’application Google Analytics enfreint encore le Règlement Général européen de Protection des Données (RGPD). En effet, le moteur de recherche envoie des adresses IP et des données de contact d’utilisateurs européens aux Etats-Unis.
Or, ces données personnelles ne doivent pas quitter l’Europe selon le chapitre 5 du Règlement Général européen de Protection des Données (RGPD). Google contre-attaque en arguant que ces données sont bien cryptées… Un argument jugé non recevable par DSB, la CNIL autrichienne.
« Une décision à mettre en perspective avec celle du contrôleur européen de la protection des données (EDPS) »
« La décision de l’autorité Autrichienne est à mettre en perspective avec celle du contrôleur européen de la protection des données (EDPS) de début janvier 2022. Dans les deux décisions, il est reproché aux responsables de traitement de pas rapporter la preuve ou d’autres informations sur les mesures supplémentaires contractuelles, techniques ou organisationnelles qui auraient été prises pour assurer un niveau de protection équivalent comme cela est exigé depuis la décision Schrems précitée » analyse Céline Avignon, avocate chez Lexing Alain Bensoussan Avocats, une spécialiste du RGPD et des cookies.
Un signal fort pour les responsables de traitement
Notre experte estime qu’il serait important pour la sécurité juridique des responsables de traitement, de savoir, par exemple, si le paramétrage de la solution Google Analytics pourrait permettre d’autoriser de tels flux et « dans l’affirmative que les autorités, comme la Cnil le fait pour les solutions analytics exemptées de consentement, valident un guide de ce paramétrage si bien sûr, elles ne concluent pas définitivement a l’impossibilité d’utiliser Google Analytics conformément au RGPD, en toute circonstance ».
Céline Avignon rappelle aussi que ces deux décisions, représentent un signal fort pour les responsables de traitement, éditeurs de sites internet qui confirme la position antérieure notamment du CEPD sur la difficulté de mettre en œuvre des mesures supplémentaires efficaces pour autoriser des flux vers les US sur la base des clauses contractuelles types. « Coïncidence ou non, les deux décisions concernaient des sites en relation avec la santé. La Cnil, elle, s’est déjà prononcée sur l’application Stop Covid et l’utilisation du re-captcha de Google ».
Des plaintes déposées par Noyb contre Facebook et Google
L’ouverture du dossier fait suite à des plaintes déposées par Noyb (None Of Your Business), une association de défense des droits numériques créée en 2017 par Max Schrems, l’activiste autrichien qui était parvenu à faire annuler en 2020 le Privacy Shield. Cet accord autorisait, sous certaines conditions, les transferts de données personnelles entre l’Union Européenne et les États-Unis.
Noyb avait déjà saisi durant durant l’été 2020 différents régulateurs européens en portant plainte contre de 101 sites web européens, dont Facebook Connect et Google Analytics, pour des transferts de données d’utilisateurs européens vers les Etats-Unis. L’association avait déjà porté plainte contre Facebook dès l’entrée en vigueur du RGPD en 2018.
Et comme la DPC, l’homologue de la Cnil en Irlande, pays qui héberge les sièges européens de nombreux Gafam (Apple, Microsoft, etc.), ne semblait pas très pressée de faire appliquer le RGPD, Noyb a porté plainte contre elle auprès de la justice autrichienne. Fin novembre 2021, la CNIL irlandaise lui demandait de signer un accord de confidentialité, sinon elle serait déboutée de sa plainte contre Facebook. Est-ce bien légal ?