MISE À JOUR : l'autorité de protection des données de l'UE ordonne à nouveau l'arrêt de Google Analytics

05 Juil 2022

UPDATE : Une autre DPA de l'UE ordonne l'arrêt de Google Analytics

L'autorité italienne (GPDP) a rejoint le consensus partagé par le CEPD, ainsi que les autorités françaises et autrichiennes et a interdit l'utilisation de Google Analytics (GA). Suite à nos 101 plaintes sur les transferts de données, le GPDP a conclu que les sites web utilisant GA collectaient les interactions des utilisateurs et transféraient les données des utilisateurs aux Etats-Unis ; un pays sans un niveau adéquat de protection des données, rendant ledit transfert illégal

Garante est la quatrième APD à se ranger du côté de la noyb sur les transferts de données. L'autorité italienne de protection des données a déclaré que l'utilisation de Google Analytics était illégale, car les opérateurs de sites Web utilisant GA collectaient les données des utilisateurs par le biais de cookies et les transféraient aux États-Unis. En déterminant que le traitement était illégal, le DPA italien a réitéré qu'une adresse IP est une donnée personnelle et ne serait pas anonymisée même si elle était raccourcie - étant donné les capacités de Google d'enrichir de telles données par des informations supplémentaires qu'il détient.

Le CEPD sanctionne le Parlement sur les transferts Au début de cette année, le Contrôleur européen de la protection des données (CEPD) a publié une décision après qu'une plainte ait été déposée par noyb, confirmant que le Parlement européen a violé la loi sur la protection des données sur son site de test COVID. Le CEPD a souligné que l'utilisation de Google Analytics violait l'arrêt"Schrems II" de la Cour de justice (CJUE) sur les transferts de données entre l'UE et les États-Unis. La décision a marqué l'une des premières décisions mettant en œuvre Schrems II et a ouvert la voie à des décisions similaires

La décision de l'autorité autrichienne de protection des données a suivi. Après la publication par l'autorité autrichienne de protection des données de sa décision qui rendait l'utilisation de GA illégale pour la première fois, l'ORD a rendu une deuxième décision, déclarant que l'utilisation de l'anonymisation IP de Google était une mesure de protection inutile pour les transferts de données entre l'UE et les États-Unis. L'ORD a également rejeté la notion d'une "approche fondée sur le risque", que Google avait défendue et qui permettrait le transfert de "cas à faible risque", par exemple lorsque des identifiants en ligne ou des adresses IP sont transférés

La CNIL française ordonne la mise en conformité. Quelques semaines seulement après la décision autrichienne, la CNIL française a ordonné à trois sites web de se conformer au GDPR et d'omettre l'utilisation de Google Analytics. Après avoir reçu des plaintes de noyb.eu, la CNIL a voulu tirer collectivement la conséquence de l'arrêt Schrems II de la CJUE et a souligné le risque que les services de renseignement américains accèdent à des données personnelles transférées aux États-Unis si les transferts ne sont pas correctement réglementés.

Des approches nationales malgré le groupe de travail européen Les APD prévoyaient d'adopter une approche coordonnée concernant les 101 plaintes de la noyb, mais la taskforce n'a pas semblé tenir ses promesses : alors que les autorités italiennes, autrichiennes et françaises ont enquêté de manière approfondie sur les outils utilisés pour transférer les données à caractère personnel, l'autorité espagnole a rejeté une plainte parce que le fournisseur du site web avait retiré Google Analytics du site après la plainte. De même, l'autorité luxembourgeoise a rejeté trois plaintes concernant des transferts de données vers des serveurs Facebook aux États-Unis, car les sites Web avaient supprimé les outils. Jusqu'à présent, aucune APD n'a rejeté les arguments matériels de noyb ou déclaré les transferts légaux.