La DSB, l’autorité autrichienne de protection des données, estime que Google Analytics enfreint le GDPR. Une remise en cause lourde sens. Qui peut menacer la stratégie du géant du net.

Adresses URL consultées, provenance des visiteurs, temps passé sur chaque page… Google Analytics est un outil très puissant qui fonctionne en installant un cookie sur le navigateur des internautes. Sauf que selon le régulateur des données en Autriche, la DSB, les données en question transitent vers les serveurs américains de Google sans être suffisamment protégées. Elles pourraient donc être interceptées. La décision pourrait augurer d’un mouvement de fond. « C’est clairement le début de la fin », estime Arno Moerman, Principal Privacy Consultant, CRANIUM.

Cette décision a été prise dans le cadre de l’analyse du fonctionnement du site NetDoktor, un portail d’information médical. Au même motif, la DSB a également pointé du doigt le fonctionnement du site web des tests Covid-19 du Parlement européen, qui utilise Google Analytics comme des millions d’autres. Et l’autorité autrichienne peut compter sur l’appui du Comité européen de la protection des données dans ses accusations, ce dernier estimant que l’infraction au GDPR est bel et bien caractérisée.

Une plainte parmi 101 

Dans le far west sauvage qu’est le transfert numérique des données, la décision prise par la DSB semble marquer le début de la fin des transferts internationaux non contrôlés de données de l’EEE, l’Espace économique européen, vers les géants du net tels Google, Facebook et leurs semblables…

Arno Moerman : Google n’a aucune défense mesurable contre les décisions à venir des autorités européennes de protection des données !”

Cette décision est consécutive à l’une des 101 plaintes déposées par l’activiste Max Schrems en 2020 auprès de plusieurs autorités européennes, après sa victoire devant la CJUE, la Cour de justice de l’Union européenne. Cette dernière, dans l’arrêt dit « Schrems II », a jugé en juillet 2020 que le droit américain était fondamentalement incompatible avec celui de l’Union européenne. En cause : la possibilité pour des autorités américaines, par exemple les services de renseignement, de contourner le GDPR en obtenant des données personnelles d’Européens.

La DSB s’est, cependant, refusée, à ce stade, à sanctionner Google. Elle estime que seul le site autrichien est fautif pour avoir pris part au transfert de données d’Europe vers les Etats-Unis. Elle estime également que les précautions prises par Google pour protéger les données collectées sont insuffisantes.

Balayer sous le tapis, pas plus

La récente décision de la DSB montre que l’arrêt Schrems II ne sera pas ignoré. Et donc qu’il  sera appliqué à tous niveaux. Un coup dur pour Google. Analytics, son outil de prédilection pour analyser le comportement des visiteurs de leur site, est largement reconnu. « C’est logique puisque l’outil lui-même est gratuit -les visiteurs du site paient avec leurs données. Il  fournit une des analyses les plus complètes des données. Cela a donné à Google l’impression qu’il pouvait continuer à transférer des données de l’EEE vers les États-Unis, ignorant Schrems II, analyse Arno Moerman. La décision de la DSB est un premier coup d’arrêt. »

Cette décision indique qu’en utilisant Google Analytics, le fournisseur du site web a envoyé des informations personnelles à Google aux Etats-Unis. L’argument qu’il ne s’agissait pas d’informations personnelles mais plutôt d’informations anonymes,  a été rejeté par la DSB. En effet, Google peut facilement (ré)identifier les visiteurs du site web en utilisant, entre autres, leurs adresses IP et d’autres identifiants uniques tels que les cookies. Pour Arno Moerman, le fait que Google permette à ses utilisateurs d’accepter ou de refuser les annonces personnalisées montre qu’il dispose de tous les moyens pour identifier les visiteurs du site.  

Une bataille perdue d’avance

En clair, le transfert international de ces données de l’EEE vers les États-Unis relève des règles du GDPR. Le transfert a été jugé non conforme aux règles selon l’article 44. De plus, les mesures mises en place pour assurer un niveau adéquat de protection des données ont été jugées insuffisantes. En effet, les clauses contractuelles types et les mesures techniques et organisationnelles de base prévues à l’article 32 mises en place ne fournissent pas une protection supplémentaire et adéquate contre l’intrusion des données transférées par les services de renseignement américains.

« Cette décision, probablement la première d’une longue série, aura de sérieuses implications pour les fournisseurs de sites Web de l’EEE et pour Google. De fait, l’utilisation d’Analytics est  un élément majeur de la base publicitaire, observe Arno Moerman. Google a répondu dans une déclaration à la décision de la DSB avec les mêmes arguments que ceux qui ont été écartés par la décision elle-même, ce qui ne facilite pas davantage sa cause… »  Le fait que le directeur juridique de Google demande en même temps la mise en place d’un nouveau réseau de transfert de données entre l’UE et les États-Unis indique que l’entreprise n’est pas en mesure de garantir un niveau de protection adéquat… « Cela signifie encore que Google n’a aucune défense mesurable contre les décisions à venir des autorités européennes de protection des données ! »

Un effet de vague

La décision a déjà provoqué un effet de vague important parmi les autres autorités de protection des données. Datatilsynet, l’autorité danoise de protection des données, a déjà fait savoir qu’elle allait lire attentivement la décision de la DSB. D’autres suivront très certainement et créeront des orientations basées sur ces décisions, pronostique Arno Moerman. Cette tendance sera probablement observée dans presque tous les autres pays de l’EEE entrant dans le champ d’application du RGPD.

Par ailleurs, l’autorité de protection des données de Guernesey a supprimé Google Analytics de son site web en signe de soutien et de respect des règles du GDPR à la suite de l’arrêt Schrems II et de la décision de la DSB.

De son côté, l’Autoriteit Persoonsgegevens, l’autorité néerlandaise de protection des données, a publié un guide sur la façon de configurer les paramètres de Google Analytics. Et d’indiquer clairement qu’il est possible que l’utilisation d’Analytics soit interdite dans un avenir proche… « Deux enquêtes sont actuellement en cours à ce sujet. Elles seront probablement terminées dans les mois à venir. Elles décideront du sort de Google Analytics aux Pays-Bas. D’autres autorités de protection des données, c’est sûr, suivront le mouvement. »