Bouleversement dans le monde de l’entreprise: le gardien autrichien de la vie privée considère l’utilisation de Google Analytics comme une violation du RGPD Les entreprises belges ne seront-elles plus autorisées à utiliser Google Analytics? Et quelles sont les conséquences pour l’utilisation de tous les autres services de communication électronique à partir des États-Unis? Il est donc plus que nécessaire d’aborder avec l’objectivité requise les aspects de cette décision liés à la protection de la vie privée et les conséquences que l’on peut en attendre pour les entreprises belges.
Google Analytics = transfert de données à caractère personnel vers les États-Unis
En tant qu’entreprise, vous créez un site web pour vos activités. Vous êtes alors responsable du traitement de données à caractère personnel qui y est effectué. Après tout, c’est votre entreprise qui détermine les finalités du traitement des données. Vous choisissez également la manière dont cela se passe.
L’autorité de contrôle autrichienne a jugé qu’un tel responsable du traitement des données avait enfreint le RGPD en mettant en place Google Analytics sur le site web de l’entreprise. Après tout, cette mise en pratique implique plusieurs opérations de traitement de données à caractère personnel.
Identifiable? Donc de données à caractère personnel
Le traitement précis qui a fait l’objet de cette violation est le transfert de données à caractère personnel vers les États-Unis. Lorsque le site web est visité, l’outil Google Analytics transfère certaines données du navigateur du visiteur du site web vers les serveurs de Google LLC. Dans ce cas, il s’agit au moins des données suivantes:
- L’adresse IP de l’appareil utilisé par le visiteur du site web;
- Des identifiants en ligne uniques qui permettent d’identifier le navigateur ou l’appareil utilisé par le visiteur du site web;
- Identifiants en ligne uniques de l’exploitant du site web (société autrichienne en tant que responsable du traitement des données) (c’est-à-dire l’ID du compte Google Analytics);
- Le titre et l’adresse HTML du site web, ainsi que les pages spécifiques visitées par le visiteur sur le site web;
- Informations sur le navigateur, le système d’exploitation, la résolution de l’écran, le choix de la langue ainsi que la date et l’heure de la visite du site web.
Pourquoi s’agit-il de données à caractère personnel? Étant donné que ces données (isolément ou au moins par agrégation) peuvent « singulariser » le visiteur, elles rendent le visiteur du site web « identifiable ». Le principe de singularisation signifie qu’un individu peut être « distingué » d’un groupe. Il s’agit d’un concept qui n’est pas du tout nouveau pour les spécialistes de la protection de la vie privée, mais qui fait souvent sourciller les entrepreneurs et les professionnels de l’informatique.Dans tous les cas, le critère d’identifiable confère aux données un caractère personnel, et donc le RGPD s’applique.
Transfert aux États-Unis. Ainsi, en dehors de l’EEE
Dans le cas autrichien, une société agissant en tant que responsable du traitement a donc transféré de données à caractère personnel à Google LLC. Cette société est basée aux États-Unis. En d’autres termes: dans un pays situé en dehors de l’Espace économique européen / « EEE ». En bref, un pays autre qu’un État membre de l’UE, la Norvège, l’Islande ou le Liechtenstein.
Selon le RGPD, un tel transfert en dehors de l’EEE n’est licite que s’il s’accompagne d’un niveau de protection adéquat. Et il semble que c’est là que le bât blesse.
L’absence d’un niveau de protection adéquat constitue une violation.
3 pistes pour un niveau de protection adéquat
Le RGPD permet d’atteindre un niveau de protection adéquat de trois manières différentes:
- Il y a une décision d’adéquation. Il s’agit d’une décision par laquelle la Commission européenne confirme qu’un certain pays situé en dehors de l’EEE offre un niveau de protection adéquat. Par conséquent, de données à caractère personnel peuvent simplement être transférées vers ce pays tiers. Pour les États-Unis, nous avons déjà eu une telle décision d’adéquation, le fameux « Privacy Shield ». Mais comme celle-ci a été déclarée invalide par la Cour de justice dans son arrêt Schrems II du 16 juillet 2020, elle ne peut plus être invoquée pour les transferts vers les États-Unis.
- Des mesures de protection appropriées sont en place.
- L’une des exceptions (« dérogations pour des situations spécifiques ») de l’article 49 du RGPD s’applique. Ainsi, si l’une de ces conditions est remplie, un transfert vers ce pays tiers peut avoir lieu.
Par exemple, en l’absence d’une décision d’adéquation et de garanties appropriées, la personne concernée a donné son consentement explicite au transfert vers le pays tiers ET, en outre, cette personne a été informée à l’avance des risques que ces transferts peuvent comporter pour elle. Cela implique que la personne concernée doit recevoir une explication de ce qui constitue un pays non adéquat, de ce qu’implique l’absence de garanties adéquates et une justification de la raison pour laquelle le transfert en question est approprié. En outre, la personne concernée doit recevoir cette explication sous une forme concise, transparente, compréhensible et facilement accessible et dans un langage clair et simple. En effet, ce n’est qu’à cette condition qu’il sera possible d’accepter que la personne concernée ait donné son consentement éclairé.
En l’espèce, cependant, il ne faisait aucun doute qu’aucune des exceptions de l’article 49 du RGPD ne s’appliquait.
Absence de mesures de protection appropriées
Vous pouvez donc deviner qu’en l’absence d’une décision d’adéquation ou d’un tel cas exceptionnel, la question était de savoir si des garanties appropriées étaient en place.
Selon le RGPD, le responsable du traitement a l’obligation de vérifier l’existence de garanties appropriées pour le transfert vers les États-Unis. S’il n’y en a pas, ce responsable du traitement des données (cela s’applique également s’il s’agit d’un sous-traitant) doit prendre lui-mêmeles mesures appropriées nécessaires.
À titreindicatif, le RGPD indique que ces garanties appropriées peuvent être fournies par la conclusion de clauses contractuelles types (CCS) avec le responsable du traitement ou le sous-traitant des données du pays tiers. Il s’agit de clauses types adoptées et approuvées par la Commission européenne. En l’espèce, la société autrichienne avait conclu des CCS avec Google LLC, mais pour un transfert vers les États-Unis, cela pourrait ne pas être suffisant pour assurer un niveau de protection adéquat aux personnes concernées.
C’est quelque chose de nouveau? Non, ce n’est pas le cas. La Cour de justice a déjà clarifié ce point avec son arrêt Schrems II du 16 juillet 2020. Cet arrêt exige que, pour un pays tiers comme les États-Unis,des mesures supplémentairessoient prises en plus des CCS valides. Cette position a également été adoptée par le Comitée européen de la protection des données.
La raison en est qu’il existe aux États-Unis une législation qui autorise explicitement ses autorités à accéder aux données à caractère personnel des citoyens européens détenues par les fournisseurs américains de services de communication électronique, dont Google LLC. Étant donné que les CCS sont de nature contractuelle et ne lient donc que les parties concernées, ils ne peuvent fournir aucune garantie contre l’accès et la surveillance par les autorités américaines elles-mêmes. En outre, il a été prouvé dans le cas de l’Autriche, au moyen d’un rapport de transparence de Google, que de telles demandes d’inspection par les autorités américaines ne sont pas seulement théoriquement possibles, mais qu’elles ont effectivement lieu régulièrement.
Des mesures supplémentaires sont donc nécessaires, et peuvent être de nature organisationnelle, contractuelle ou technique.
Une mesure technique supplémentaire pourrait consister à crypter (ou, mieux encore, à anonymiser) les données avant de les transférer au sous-traitant ou au responsable du traitement des données dans le pays tiers. Cela signifie avant que les données ne soient transmises à Google. En effet, une fois que les données à caractère personnel se trouvent chez Google et que Google crypte ces données, il est en fait déjà trop tard, car les autorités ont le droit, en vertu de la législation américaine, d’obtenir la clé de cryptage auprès de Google. Tout ce qu’un fournisseur américain de services de communication électronique a à sa disposition, l’autorité américaine peut le voir et le surveiller.
La conclusion est aussi simple qu’une addition. Comme la compagnie autrichienne n’a pas pris ces mesures supplémentaires appropriées, elle a donc enfreint le RGPD car il n’y avait pas de niveau de protection adéquat pour les données à caractère personnel des visiteurs du site web lors du transfert vers les États-Unis.
Conséquences possibles pour les entreprises belges
Les effets en Belgique?
Toutefois, la décision a été prise par l’autorité de contrôle autrichienne, à laquelle les entreprises belges ne sont pas soumises. Alors ne devrions-nous pas attendre un peu?
Toutefois, il serait extrêmement naïf de penser que cette décision ne pourrait avoir aucune conséquence pour les entreprises belges. Tous les spécialistes de la protection de la vie privée savent qu’il s’agit logiquement d’un précédent important pour toutes les autres autorités de contrôle européennes. En fait, on sait déjà que l’autorité néerlandaise pour la protection des données à caractère personnel (Autoriteit Persoonsgegevens – AP) mène actuellement deux enquêtes concernant Google Analytics. Nous ne pouvons bien sûr qu’attendre en suspens le verdict qui sera rendu.
En outre, même si la décision autrichienne était susceptible d’appel, il semble très peu probable que ce raisonnement soit rejeté en deuxième instance. Par conséquent, la décision autrichienne n’a rien de « nouveau », mais est plutôt le résultat d’un examen concret de la législation sur la protection des données et de ses interprétations actuellement applicables.
Et il y a encore les cookies
En outre, l’utilisation des cookies est actuellement particulièrement dans le radar des instances européennes de protection de la vie privée et des autorités nationales de contrôle. Ceci est important dans l’histoire de Google Analytics, car cet outil utilise des cookies non nécessaires, notamment des cookies analytiques, pour collecter de données à caractère personnel.
Les cookies non nécessaires sont des cookies qui ne sont pas strictement nécessaires au fonctionnement d’un site web. L’utilisation de ces cookies nécessite le consentement libre, éclairé, volontaire, spécifique et explicite de la personne concernée. L’aspect de votre bannière de cookie est crucial à cet égard.
Le CEPD a mis en place une équipe de travail sur les bannières de cookies à l’automne 2021 à l’initiative de l’organisation à but non lucratif NOYB (None of Your Business), le Centre européen pour les droits numériques basé en Autriche. Il s’agit de la même organisation qui a également déposé la plainte dans l’affaire Google Analytics auprès de l’autorité de contrôle autrichienne. L’objectif de cette équipe est de coordonner, entre autres, les décisions relatives aux cookies prises par les autorités de contrôle dans l’EEE. La décision autrichienne de considérer Google Analytics comme un transfert illégal a été prise en consultation avec ce groupe de travail.
En d’autres termes, étant donné l’effet d’harmonisation de cette initiative européenne, il y a peu de chances que les autres gardiens de la vie privée dans l’UE, comme notre autorité belge de protection des données (DPA), soient plus indulgents envers Google Analytics dans un futur proche!
À cet égard, le CEPD publiera également très bientôt une lettre dans laquelle il confirme qu’il s’efforce d’assurer une application harmonisée des règles de protection des données dans l’ensemble de l’EEE, y compris en ce qui concerne l’interprétation cohérente du consentement aux cookies. La décisionprise la semaine dernière (21 janvier 2022) montre que le DPA est également préoccupée par les cookies. Ici, pour la première fois dans une décision belge, les principes du consentement requis sont clairs comme de l’eau de roche.
Extension de l’interdiction à d’autres services de communication électronique des États-Unis?
L’éléphant dans la pièce : qu’en est-il de l’utilisation d’autres services en nuage où les données personnelles peuvent être traitées aux États-Unis? Pensez à des services comme Hubspot et Mailchimp.
Les entrepreneurs n’aiment pas l’entendre, mais oui, une autorité de contrôle pourrait légalement arriver à la même conclusion ici. Après tout, la logique n’est pas complexe: s’agit-il de données à caractère personnel? Y a-t-il un transfert vers les États-Unis? Le bénéficiaire est-il soumis au contrôle de l’État? Et existe-t-il des garanties suffisantes pour un niveau de protection adéquat?
Les réponses peuvent être données par le lecteur…
Mais d’un point de vue pratique, que faire maintenant?
À tout entrepreneur réfléchi qui veut déjà être pleinement conforme au RGPD et qui ne veut pas attendre passivement que la première violation soit objectivement établie en Belgique : pas de panique! Il existe une solution pour chaque problème. Votre entreprise peut opter pour d’autres solutions d’analyse européenne. Après tout, il y en a certainement! Des alternatives européennes existent également pour d’autres types de fournisseurs de services en ligne. Cela demande un peu de préparation et de mise en œuvre, et ne doit certainement pas être fait très rapidement, mais c’est le moment.
La décision autrichienne est probablement aussi un signal d’alarme qui va accélérer l’attention portée aux alternatives européennes. En ce sens, c’est l’occasion pour chaque entrepreneur de tirer la carte du respect de la vie privée, et donc de s’engager clairement en faveur de l’orientation client.
Vous avez besoin d’aide pour évaluer des alternatives respectueuses de la vie privée? N’hésitez pas à contacter nos experts à l’adresse hallo@dejuristen.be.
Rédigé par Larissa De Keyser, conseillère juridique lesJuristes, et Kris Seyen, associé lesJuristes
