L'utilisation de Google Analytics rendue illégale par l'autorité autrichienne de protection des données

L'autorité autrichienne de protection des données (Datenschutzbehorde) s'est prononcée en faveur de l'association à but non lucratif NOYB, dans une affaire historique contre l'utilisation de Google Analytics sur netdoctor.at, un opérateur de site Web autrichien.

Bien qu'elle ne soit pas encore contraignante, la décision pourrait donner un coup de pouce aux défenseurs de la vie privée en Europe qui cherchent à tenir les entreprises technologiques avides de données responsables de leur traitement des informations personnelles des personnes.

NOYB est une organisation à but non lucratif dédiée aux droits à la vie privée en Europe, dirigée par Max Schrems (l'homme qui a réussi à contester l'utilisation par Facebook des accords de transfert de données).

Il s'agit de la première décision sur les 101 plaintes types déposées par NOYB en réponse à l'arrêt Schrems II de la CJUE (qui avait invalidé le Privacy Shield). Les 101 plaintes suggèrent que les entreprises européennes continuent de partager les données des visiteurs avec les grandes entreprises technologiques et n'offrent pas un niveau de protection adéquat à leurs utilisateurs. Ainsi, bien que cette décision soit la première du genre, ce ne sera probablement pas la dernière.

Le comité européen de la protection des données (EDPB) a créé un groupe de travail en 2021 pour enquêter sur la situation et assurer une coordination étroite entre toutes les autorités européennes de protection des données.

En conséquence, les actions réglementaires déposées par les autorités de protection des données dans d'autres États membres de l'UE devraient s'accélérer (par exemple, l'autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens).

Que comprend la décision ?

La DPA a retenu dans la décision ce qui suit :

Applicabilité du RGPD

En tant que leges speciales , les exigences applicables de la directive 2002/58/CE (directive e-Privacy) - rebaptisée Loi sur la protection des données des télécommunications et des télémédias (TTDSG 2021) en Autriche - prévalent sur le RGPD (Règlement général sur la protection des données).

La directive e-Privacy, en revanche, ne contient aucune disposition relative au transfert de données personnelles vers d'autres pays, d'où le chapitre V du RGPD s'applique dans ce cas.

Les données transmises via GA sont des données personnelles

L'autorité autrichienne de protection des données estime qu'en combinant l'énorme quantité de données transmises, il est théoriquement concevable de relier les données transférées à une personne physique. Par conséquent, un lien avec une personne peut être établi (voir article 4, paragraphe 1, du RGPD) et le RGPD s'applique.

À cet égard, il convient de noter que la DPA estime que la fonction d'anonymisation de Google Analytics est insuffisante pour déplacer l'adresse IP et d'autres identifiants en dehors du champ d'application du RGPD. En raison du volume important de données européennes transmises, l'adresse IP n'est pas pertinente pour la catégorisation des données en tant que données personnelles dans le cadre du RGPD.

L'opérateur du site Web est le responsable du traitement

Il convient de noter que la DPA autrichienne n'a examiné les activités de traitement des données que jusqu'à leur transfert réussi à Google. L'autorité ne fait aucune remarque sur le traitement ultérieur des données par Google.

Le transfert de données aux États-Unis n'est pas conforme au RGPD

Le bouclier de protection des données UE-États-Unis a été déclaré illégal par la Cour de justice européenne dans un verdict du 16 juillet 2020 (Schrems II).

En conséquence, l'article 45 du RGPD n'était plus applicable en tant que moyen de transmission de données, et la DPA n'a pas estimé qu'il existait une "dérogation pour des cas spécifiques" (notamment parce que le consentement n'a pas été obtenu dans le cas en question ).

Les "protections appropriées", telles que définies par l'article 46 du RGPD, constituent le mécanisme de transfert légal final. Les clauses contractuelles types (SCC) peuvent servir de garanties appropriées en vertu de l'article 46(2)(c) du RGPD. Le propriétaire du site Web avait signé les « anciens » CSC (version 2010/87/UE) avec Google dans l'affaire en question. (En juin 2021, un ensemble révisé de CSC a été publié.)

Cependant, lors de l'utilisation de Google Analytics, le transfert de données ne peut pas dépendre uniquement des SCC qui ont été remplis. Cela est dû au fait que Google est soumis aux lois américaines sur la surveillance (FISA 702) et que les obligations contractuelles à elles seules ne suffisent pas à lier les autorités d'un "pays tiers". Ce n'est que si des mesures technologiques et organisationnelles supplémentaires ("mesures supplémentaires") sont adoptées pour compenser le manque de protection juridique aux États-Unis qu'un transfert de données est légal. La DPA a conclu que Google n'avait pas fourni de preuves suffisantes de "mesures supplémentaires" dans sa conclusion.

Alors, qu'est-ce qui n'allait pas dans ce cas précis ?

De l'analyse ci-dessus, il ressort clairement que dans ce cas précis, l'intégration de Google Analytics qui a eu lieu à l'époque (14/08/2020) était défectueuse :

• L'utilisation de Google Analytics était uniquement basée sur les SCC obsolètes.
• Le consentement au traitement des données n'a pas été acquis.
• L'anonymisation de l'adresse IP n'avait pas été activée correctement.

Comment Google a-t-il répondu ?

La défense de Google dans la procédure et sa première réaction par la suite ne sont pas très rassurantes.

Google confirme que des données personnelles sont effectivement échangées avec les États-Unis lors de l'utilisation de Google Analytics, car cela est simplement nécessaire au bon fonctionnement du service. Plus généralement, Google indique également faire de gros efforts pour rendre ses services respectueux de la vie privée.

Dans ce cas précis, Google déclare fournir les « garanties supplémentaires » nécessaires, qui sont exigées sur la base de l'arrêt Schrems II. L'ORD a toutefois jugé que ces « garanties supplémentaires » ne représentaient pas grand-chose en réalité.

En réponse, Google ne peut pas faire grand-chose de plus que de dire que l'utilisateur peut choisir de désactiver le "partage de données tiers" dans son compte. Cependant, le partage de données avec des tiers n'est pas le principal problème juridique ici, le problème est l'accès potentiel aux données sensibles par le gouvernement américain (et bien sûr, cela ne peut être désactivé nulle part).

En d'autres termes, Google n'a pas vraiment de réponse pour le moment. Google a raison lorsqu'il dit qu'un bon outil d'analyse doit fonctionner à l'échelle mondiale, et on peut aussi sincèrement se demander si l'accès potentiel aux données d'analyse par le gouvernement américain constitue réellement une menace réelle pour la vie privée de 99 % des sites Web européens.

Que signifie cette décision pour vous ?

S'il y a une chose à retenir de cette affaire, c'est qu'ignorer ces décisions de justice et continuer à utiliser Google Analytics n'est pas une option.

Si vous exploitez un site Web en Autriche ou fournissez des services à des Autrichiens, vous devez immédiatement supprimer Google Analytics de votre site.

Il est également fortement conseillé aux entreprises des autres États membres de l'Union européenne de prendre des mesures avant que les autorités locales de protection des données ne commencent à cibler davantage d'entreprises.

En tant qu'entreprise européenne, vous ne pouvez plus confier des données utilisateur sensibles à des entreprises comme Google, qui ignorent délibérément la législation européenne sur la protection de la vie privée et risquent de lourdes amendes pour leurs clients professionnels européens.

Solutions de contournement possibles pour continuer à utiliser Google Analytics

Cependant, les sites Web à travers l'Europe ne vont pas soudainement cesser d'utiliser Google Analytics.

Jusqu'à ce que cette décision devienne juridiquement contraignante, vous pouvez toujours utiliser GA de manière conforme au RGPD en suivant les mesures les plus strictes ci-dessous :

1. Accepter les DPA de Google : afin de refléter les versions actuelles des clauses contractuelles types, Google a révisé les conditions de traitement des données de Google pour tous les produits Google (DPA). Dans les paramètres de Google Analytics, acceptez les nouveaux DPA de Google (dernière version septembre 2021).
2. Référence dans la réglementation sur la protection des données à un éventuel transfert de données vers des pays tiers.
3. Obtenir le consentement de l'utilisateur : "Cela signifie que vous ne pouvez désactiver Google Analytics que si vous avez reçu le consentement pour le faire et que vous pouvez également enregistrer et fournir des informations à ce sujet. Une plateforme de gestion des consentements (CMP) facilite ce processus.
4. Utilisez la configuration correcte de Google Analytics : aucune donnée personnelle ne doit être transmise à Analytics lors de la configuration, conformément à leurs meilleures pratiques. Vous devez donc utiliser l'anonymisation IP.
5. Passer au suivi côté serveur : Le suivi côté serveur est non seulement une solution adaptée pour augmenter la durée de vie des cookies propriétaires et contourner certains bloqueurs de suivi, mais vous avez également la possibilité d'adapter les données avant qu'elles ne soient envoyées à Google Analytics. Concrètement, cela signifie, par exemple, que les adresses IP des utilisateurs sont complètement supprimées avant que les données ne soient envoyées à Google Analytics.

Passer à d'autres outils d'analyse conformes à la confidentialité

Étant donné que la confidentialité devient de plus en plus importante pour les consommateurs du monde entier, il est logique pour toute entreprise européenne de sélectionner des services qui accordent la priorité à la protection de la vie privée de leurs utilisateurs.

Ci-dessous, nous présentons deux des alternatives les plus intrigantes à GA au cas où vous voudriez vous en débarrasser complètement.

Plausible

Essayez Plausible si vous recherchez une véritable alternative européenne à Google Analytics. Il s'agit d'un projet indépendant et amorcé basé en Estonie. Leur équipe est répartie entre l'Estonie et la Belgique.

Toutes les données des visiteurs qu'ils collectent sont stockées sur des serveurs appartenant à une société allemande en Allemagne (Hetzner). Pour leur CDN mondial, ils utilisent un fournisseur slovène (Bunny).

Plus d'informations sur leur déclaration officielle sur cette affaire ici.

Matomo

Matomo est une autre alternative GA intéressante.

Il s'agit d'une plate-forme d'analyse Web open source conçue pour vous fournir des capacités d'analyse complètes ainsi qu'une propriété complète des données.

Matomo a commencé comme une alternative open source à Google Analytics. Il fournit également des rapports importants sur les utilisateurs de votre site Web et leurs interactions avec votre site Web, similaires à Google Analytics. La partie intéressante est qu'il concentre la majorité de son attention sur la propriété des données, de sorte que vos données peuvent être entièrement vôtres et que la vie privée de vos utilisateurs est protégée.

Plus d'informations sur leur déclaration officielle sur cette affaire ici.

Les utilisateurs de Convert sont-ils impactés par cette décision ?

Aucune donnée personnelle n'est jamais utilisée ou stockée dans Convert Experiences. Ainsi, vos expériences et visiteurs ne sont pas impactés par le cas ci-dessus . De plus, nous utilisons des serveurs européens neutres en carbone pour enregistrer les données d'expérience et de variation.

Pour plus de transparence, voici quelques notes supplémentaires sur l'utilisation des données dans Convert Experiences :

• Activé par défaut
  • Identifiant du cookie de session (timeout 20 minutes sur le cookie et le cache du serveur). Cela relève actuellement des cookies de performance dans notre interprétation de la directive GDPR / ePrivacy et des réglementations ePrivacy.

• Désactivé par défaut
  • Lorsque le ciblage multi-navigateurs est activé par les clients, nous insérons un cookie unique dans l'URL à récupérer sur l'autre domaine (ce qui pourrait être interprété par GDPR comme des données personnelles). Cette fonctionnalité est désactivée par défaut dans le cadre de notre politique de « confidentialité par défaut ».
  • Lorsque des identifiants de visiteur uniques sont donnés par le client pour remplacer les identifiants de session, cela pourrait être interprété comme des données personnelles. Cette fonctionnalité est désactivée par défaut dans le cadre de notre politique de « confidentialité par défaut ».
  • Lorsque le ciblage géographique est utilisé (non activé par défaut), nous pouvons stocker le pays, la région et la ville dans le CDN ou le cache du serveur pour un ciblage correct.

Les implications de cette décision sont considérables et pourraient créer un précédent sur la manière dont les données sont utilisées par les entreprises.

Il est important de noter que cette décision n'affecte que l'utilisation de Google Analytics pour les entreprises autrichiennes ou d'autres entreprises qui font affaire avec l'une d'entre elles, mais il est possible que d'autres pays emboîtent le pas.

Si vous utilisez Google Analytics, assurez-vous de garder un œil sur les réglementations à venir pour vous assurer de rester en conformité. NOYB et d'autres défenseurs européens de la vie privée ont montré qu'ils étaient prêts à se battre pour les droits des utilisateurs en ligne, nous pouvons donc nous attendre à des décisions plus similaires à l'avenir.