noyb gagne : Première amende importante (1 million d'euros) pour l'utilisation de Google Analytics
Suite aux 101 plaintes déposées par noyb concernant des transferts illégaux de données entre l'UE et les États-Unis, l'autorité suédoise de protection des données (IMY) a rendu des décisions à l'encontre de quatre entreprises et imposé une amende de 12 millions de couronnes suédoises (1 million d'euros) à l'opérateur de télécommunications Tele2 et de 300 000 couronnes suédoises au détaillant en ligne CDON pour avoir utilisé Google Analytics sur leur page web. Bien que de nombreuses autres autorités européennes (par exemple l'Autriche, la France et l'Italie) aient déjà constaté que l'utilisation de Google Analytics était contraire au GDPR, il s'agit de la première sanction financière imposée à des entreprises pour l'utilisation de Google Analytics, malgré les arrêts de la CJUE sur les transferts de données entre l'Union européenne et les États-Unis.
- Communiqué de presse de la DPA suédoise (EN)
- Décision contre CDON (EN autotranslation)
- Décision contre Coop (EN autotranslation)
- Décision contre Dagens Industri (EN autotranslation)
- Décision contre Tele2 (EN autotranslation)
La CJUE a estimé que les transferts entre l'UE et les États-Unis étaient illégaux (dans la plupart des cas). Dans la décision 2020 , la CJUE a estimé que les transferts de données entre l'UE et les États-Unis étaient largement illégaux, compte tenu des vastes possibilités de surveillance dont dispose le gouvernement américain. Cependant, de nombreuses entreprises européennes continuent d'utiliser les services de Google, Meta, Microsoft, Amazon et autres. La noyb a déposé 101 plaintes en 2020 contre des utilisateurs des services de Google et de Facebook dans pratiquement tous les États membres de l'UE.
Décisions antérieures dans d'autres États membres de l'UE. Depuis lors, d'autres autorités européennes de protection des données ont déjà constaté que l'utilisation continue de Google Analytics enfreignait le droit communautaire (voir par exemple les décisions prises en Autriche, en France et en Italie). La jurisprudence était donc claire, mais de nombreuses entreprises résistent encore à se conformer à la loi.
Première sanction financière. L'IMY suédoise est désormais la première autorité de protection des données à avoir non seulement constaté l'illégalité des transferts et ordonné leur cessation, mais aussi à avoir infligé une amende (importante) à deux entreprises : Tele 2 (une société de télécommunications suédoise) et CDON (un détaillant en ligne suédois). Deux autres entreprises (Coop et Dagens Industri) n'ont pas été sanctionnées.
Les "mesures supplémentaires" de Google ne sont pas suffisantes. L'IMY souligne également que les "mesures supplémentaires" n'étaient pas suffisantes. Jusqu'à présent, Google a largement orienté les utilisateurs professionnels de l'UE vers ces mesures afin de combler les lacunes de la législation américaine. Ces mesures ont été (à nouveau) rejetées par une autorité de régulation de l'UE.
Marco Blocher : "Enfin, une autorité de protection des données a imposé une amende importante pour l'utilisation continue d'un outil qui transfère des données personnelles aux États-Unis en violation du GDPR - et a interdit l'utilisation ultérieure de cet outil. Il s'agit d'un changement agréable par rapport à d'autres autorités de protection des données qui se contentent de constater qu'il y a eu violation sans créer d'incitation à se conformer à l'avenir. Nous espérons que d'autres autorités de protection des données suivront l'exemple de la Suède et mettront fin aux transferts illégaux de données
Accord à venir. L'UE et les États-Unis ont annoncé un nouvel accord pour le printemps 2022. Il n'est pas encore finalisé, mais il devrait être publié ce mois-ci. Étant donné que la structure du nouvel accord est identique à celle des deux accords précédents, il est très probable que la CJUE l'annule à nouveau.