MISE À JOUR sur les 101 plaintes de noyb : L'autorité autrichienne de protection des données rejette l'"approche fondée sur le risque" pour les transferts de données vers des pays tiers

02 Mai 2022

MISE À JOUR sur 101 plaintes : L'autorité autrichienne de protection des données rejette l'"approche fondée sur le risque" pour les transferts de données vers des pays tiers

Après les décisions révolutionnaires des autorités autrichiennes et françaises de protection des données selon lesquelles l'utilisation de Google Analytics est illégale, l'autorité autrichienne de protection des données a rendu une deuxième décision qui va encore plus loin : Elle a déclaré que l'utilisation de l'anonymisation IP de Google était une mesure de protection inutile pour les transferts de données entre l'UE et les États-Unis. L'ORD a en outre rejeté la notion d'"approche fondée sur le risque" qui avait été défendue par Google

Certaines autorités en Europe ont parallèlement classé les dossiers : Les autorités espagnoles et luxembourgeoises de protection des données ont toutes deux clos les procédures de plaintes sans faire de commentaires sur l'utilisation illégale de Google Analytics, le site web concerné ayant cessé d'utiliser Google Analytics.

Le GDPR ne prévoit pas d'"approche basée sur le risque" pour les transferts de données Après Schrems II, les avocats de Big Tech et de l'industrie ont promu une "approche basée sur le risque" pour les transferts de données. Ils ont suggéré que des garanties supplémentaires, telles que demandées par la Commission européenne, soient nécessaires en cas de "risque substantiel" CJUE, ne devrait être nécessaires en cas de "risque substantiel pour les droits et libertés de la personne concernée". Une clause contractuelle dite standard devrait suffire pour les "cas à faible risque", par exemple lorsque "seules" des données telles que des identifiants en ligne ou des adresses IP sont transférées. L'ORD a constaté que ce point de vue était erroné : le GDPR ne connaît pas d'approche basée sur le risque pour les transferts de données vers des pays tiers peu sûrs, comme les États-Unis.

"L'ORD a finalement exposé l'"approche fondée sur le risque" pour les transferts de données pour ce qu'elle est : une tentative maladroite d'adoucir la jurisprudence claire de la CJUE. Les articles pertinents sur les transferts de données n'utilisent pas une seule fois le mot "risque"." - Marco Blocher, avocat spécialisé dans la protection des données chez noyb

L'IP de Google anonymisation de Google ne protège pas les données L'ORD autrichien a également rejeté les arguments de Google selon lesquels les sites web pouvaient activer l'anonymisation de l'IP lors de l'utilisation d'outils comme Google Analytics pour protéger efficacement les données transférées de la surveillance. Cet argument a été rejeté pour deux raisons : premièrement, l'anonymisation IP de Google ne concerne que l'adresse IP en tant que telle Les données telles que les-les identifiants définis par les cookies ou les données des appareils sont transférés en clair. Deuxièmement, l'anonymisation IP n'a lieu qu'après le transfert des données à Google.

"Il est maintenant confirmé que ce n'est pas parce que les adresses IP sont anonymisées à un stade du processus, les adresses IP sont toujours traitées initialement L'anonymisation de un identifiant ne permet pas non plus de surmonter le fait qu'il existe d'autres identifiants."Marco Blocher, avocat spécialisé dans la protection des données chez noyb

Approches nationales malgré le groupe de travail de l'EDPB Les APD avaient prévu d'adopter une approche coordonnée concernant les 101 plaintes de noyb, mais le groupe de travail installé ne semble pas tenir ses promesses : alors que les APD autrichienne et française ont enquêté de manière approfondie sur l'utilisation d'outils qui transfèrent des données personnelles vers les États-Unis, l'APD espagnole a simplement rejeté une plainte parce que le fournisseur du site Web a retiré Google Analytics du site après la plainte. Aucun mot sur le caractère illégal ou non des transferts de données vers les États-Unis avant la suppression. De même, l'APD luxembourgeoise a rejeté trois plaintes concernant des transferts de données vers des serveurs Facebook aux États-Unis, parce que les sites web ont supprimé les outils.

"L'arrêt des violations ne rend pas légale une violation passée. Selon la logique de ces autorités, vous ne devriez pas recevoir une contravention pour excès de vitesse si vous arrêtez de rouler à un moment donné. " - Marco Blocher, avocat spécialisé dans la protection des données chez noyb