DSB autrichien : L'utilisation de Google Analytics viole la décision "Schrems II" de la CJEU.
Dans une décision innovante, l'autorité autrichienne de protection des données ("Datenschutzbehörde" ou "DSB") a décidé sur un cas modèle de noyb que l'utilisation continue de Google Analytics viole le GDPR. Il s'agit de la première décision sur les 101 plaintes types déposées par noyb à la suite de la décision dite "Schrems II". En 2020, la Cour de justice (CJUE) a décidé que l'utilisation de fournisseurs américains violait le GDPR, car les lois de surveillance américaines exigent que les fournisseurs américains comme Google ou Facebook fournissent des détails personnels aux autorités américaines. Des décisions similaires sont attendues dans d'autres États membres de l'UE, les régulateurs ayant coopéré sur ces affaires au sein d'une "task force" de l'EDPB. Il semble que la décision de l'ORD autrichien soit la première à être rendue.
l'arrêt de la CJUE de 2020 touche le monde réel. En juillet 2020, la CJUE a rendu son arrêt révolutionnaire "Schrems II", estimant qu'un transfert vers des fournisseurs américains tombant sous le coup des articles 702 de la FISA et 12.333 de l'OE violait les règles relatives aux transferts internationaux de données du GDPR. La CJUE a donc annulé l'accord de transfert "Privacy Shield", après avoir annulé l'accord précédent "Safe Harbor" en 2015. Si cette décision a provoqué une onde de choc dans le secteur de la technologie, les fournisseurs américains et les exportateurs de données de l'UE ont largement ignoré l'affaire. Tout comme Microsoft, Facebook ou Amazon, Google s'est appuyé sur des "clauses contractuelles types" pour poursuivre les transferts de données et calmer ses partenaires commerciaux européens.
Max Schrems, président honoraire de noyb.eu :"Au lieu d'adapter réellement leurs services pour être conformes au GDPR, les entreprises américaines ont essayé de simplement ajouter un texte à leurs politiques de confidentialité et d'ignorer la Cour de justice. De nombreuses entreprises européennes ont suivi le mouvement au lieu de se tourner vers des options légales."
Les CSC et les "TOM" ne suffisent pas. Alors que Google a fait des soumissions affirmant avoir mis en œuvre des "mesures techniques et organisationnelles" ("TOMs"), qui comprenaient des idées comme avoir des clôtures autour des centres de données, examiner les demandes ou avoir un cryptage de base, l'ORD a rejeté ces mesures comme étant absolument inutiles quand il s'agit de la surveillance américaine (page 38 et 39 de la décision) :
"En ce qui concerne les mesures contractuelles et organisationnelles exposées, il n'est pas évident, dans quelle mesure [la mesure] est efficace au sens des considérations ci-dessus."
"En ce qui concerne les mesures techniques, il n'est pas non plus reconnaissable (...) dans quelle mesure [la mesure] empêcherait ou limiterait effectivement l'accès des agences de renseignement américaines compte tenu du droit américain."
Max Schrems :"Il s'agit d'une décision très détaillée et solide. L'essentiel est le suivant : Les entreprises ne peuvent plus utiliser les services cloud américains en Europe. Cela faitmaintenant 1,5 an que la Cour de justice l'a confirmé une deuxième fois, il est donc plus que temps que la loi soit également appliquée."
Décision pertinente pour presque tous les sites web de l'UE. Google Analytics est le programme de statistiques le plus courant. Bien qu'il existe de nombreuses alternatives hébergées en Europe ou pouvant être auto-hébergées, de nombreux sites web s'appuient sur Google et transmettent ainsi les données de leurs utilisateurs à la multinationale américaine. Le fait que les autorités chargées de la protection des données puissent désormais déclarer progressivement les services américains illégaux renforce la pression sur les entreprises européennes et les fournisseurs américains pour qu'ils se tournent vers des options sûres et légales, comme l'hébergement en dehors des États-Unis. Une semaine plus tôt, le Contrôleur européen de la protection des données (CEPD) avait pris une décision similaire sur les transferts UE-USA.
Max Schrems :"Nous nous attendons à ce que des décisions similaires tombent progressivement dans la plupart des Etats membres de l'UE. Nous avons déposé 101 plaintes dans presque tous les Etats membres et les autorités ont coordonné la réponse. Unedécision similaire a également été rendue par le Contrôleur européen de la protection des données la semaine dernière."
Solution à long terme. À long terme, il semble y avoir deux options : Soit les États-Unis adaptent les protections de base pour les étrangers afin de soutenir leur industrie technologique, soit les fournisseurs américains devront héberger les données étrangères en dehors des États-Unis.
Max Schrems :"À long terme, soit nous avons besoin de protections adéquates aux États-Unis, soit nous nous retrouverons avec des produits distincts pour les États-Unis et l'UE. Personnellement, je préférerais de meilleures protections aux États-Unis, mais cela dépend du législateur américain - et non de quiconque en Europe."
Google LLC ne relève pas des règles de transfert ? L'ORD a rejeté les plaintes déposées contre Google LLC en tant que destinataire de données, estimant que les règles relatives aux transferts de données ne s'appliquent qu'aux entités de l'UE et non aux destinataires américains. Toutefois, l'ORD a déclaré qu'il allait poursuivre son enquête sur Google LLC en ce qui concerne les violations potentielles des articles 5, 28 et 29 du GDPR, car il semble douteux que Google ait été autorisé à fournir des données personnelles au gouvernement américain sans un ordre explicite de l'exportateur de données de l'UE. L'ORD rendra une décision distincte sur cette question.
Max Schrems :"Pour nous, il est crucial que les fournisseurs américains ne puissent pas simplement déplacer le problème vers les clients de l'UE. Nous avons donc déposé une plainte contre le destinataire américain également. L'ORD a partiellement rejeté cette approche. Nous examinerons si nous faisons appel de cet élément de la décision."
Pas de sanction (pour l'instant). La décision ne traite pas d'une éventuelle sanction, car elle est considérée comme une procédure d'exécution "publique", où le plaignant n'est pas entendu. Il n'y a pas d'information si une sanction a été émise ou si l'ORD prévoit d'émettre également une sanction. Le GDPR prévoit des sanctions pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial dans de tels cas.
Max Schrems :"Nous supposons qu'il y a également une sanction pour l'exportateur de données de l'UE, mais nous n'avons reçu jusqu'à présent qu'une décision partielle qui ne traite pas de cette question."
Application supplémentaire par les APD allemandes. L'exportateur de données autrichien ayant fusionné avec une société allemande, l'ORD autrichien n'était compétent que pour les violations commises dans le passé. L'ORD a déclaré qu'il soulèverait une interdiction des futurs transferts de données auprès de l'autorité compétente du nouveau siège de l'exportateur de données en Allemagne.
Contexte et analyse juridique. noyb a également publié une analyse juridique plus approfondie sur GDPRhub.eu.