L’organisme suédois de surveillance de la protection des données a infligé quelques amendes concernant les exportations de données d’utilisateurs européens via Google Analytics, qui, selon lui, enfreignent les règles de confidentialité du bloc en raison des risques posés par la surveillance du gouvernement américain. Il a également mis en garde d’autres entreprises contre l’utilisation de l’outil de Google.
Les amendes – un peu plus de 1,1 million de dollars pour la société de télécommunications suédoise Tele2 et moins de 30 000 dollars pour le détaillant en ligne local CDON – sont notables car il s’agit des premières amendes de ce type après une série de plaintes stratégiques en matière de confidentialité ciblant Google Analytics (et Facebook Connect) en août 2020.
Le régulateur a estimé que les mesures dites supplémentaires appliquées par Google aux données des utilisateurs européens envoyées aux États-Unis pour traitement étaient insuffisantes pour élever le niveau de protection au niveau légal requis. Y compris l’utilisation par Google de la troncature de l’adresse IP (une mesure d’anonymisation) car, dans l’affaire Tele2, il a déclaré que l’entreprise n’avait pas précisé si la troncature avait été effectuée avant ou après le transfert des données aux États-Unis et n’avait donc pas réussi à démontrer il n’y a « pas d’accès potentiel à l’intégralité de l’adresse IP avant que le dernier octet ne soit tronqué ».
Le chien de garde a également constaté des violations des règles du règlement général sur la protection des données (RGPD) du bloc sur les transferts vers des pays tiers dans le cas de l’utilisation de Google Analytics par deux autres sociétés, Coop et Dagens Industries, mais n’a pas infligé d’amendes dans ces cas.
« Dans ses audits, IMY [the Swedish DPA] considère que les données transférées aux États-Unis via l’outil de statistiques de Google sont des données personnelles car les données peuvent être liées à d’autres données uniques qui sont transférées. L’autorité conclut également que les mesures techniques de sécurité que les entreprises ont prises ne sont pas suffisantes pour assurer un niveau de protection qui correspond essentiellement à celui garanti au sein de l’UE/EEE », a écrit le régulateur dans un communiqué.
« Les quatre sociétés ont fondé leurs décisions concernant le transfert de données personnelles via Google Analytics sur des clauses contractuelles types. D’après les audits d’IMY, il ressort qu’aucune des mesures de sécurité techniques supplémentaires des entreprises n’est suffisante. IMY inflige une amende administrative de 12 millions de SEK à Tele2 et de 300 000 SEK à CDON, qui n’a pas pris les mêmes mesures de protection étendues que Coop et Dagens Industri. Tele2 a récemment cessé d’utiliser l’outil de statistiques de sa propre initiative. IMY ordonne aux trois autres sociétés de cesser d’utiliser l’outil.
Dans le billet de blog – intitulé « Les entreprises doivent cesser d’utiliser Google Analytics » – le régulateur a ajouté que les quatre décisions devaient être traitées comme des orientations, soulignant ce qu’elles considéraient comme des implications plus larges.
L’année dernière, un certain nombre d’autorités de protection des données de l’Union européenne, dont les organismes de surveillance français et italien, ont mis en garde contre l’utilisation de l’outil d’analyse de Google après avoir constaté qu’un certain nombre d’utilisateurs ne respectaient pas les règles du bloc sur les transferts internationaux de données. Cependant, d’autres régulateurs n’ont pas émis de sanctions financières, selon l’ONG noyb, qui était à l’origine des plaintes initiales – favorisant apparemment une approche plus douce pour appliquer le RGPD aux utilisateurs d’un outil aussi familier malgré le même problème de transfert de données qui les sous-tend tous.
Les 101 plaintes stratégiques initiales de noyb visaient une variété de sites Web à travers l’Europe utilisant Google Analytics ou des services Facebook similaires à la suite d’une décision historique de la Cour de justice de l’Union européenne en juillet 2020 qui a invalidé un accord de transfert de données UE-États-Unis appelé Privacy Shield quelques années seulement après avoir renversé son prédécesseur, Safe Harbor.
L’UE et les États-Unis sont en train de finaliser un troisième accord de transfert de données, appelé cadre de confidentialité des données UE-États-Unis, qui devrait être achevé plus tard ce mois-ci – et lèvera, à court terme du moins, l’incertitude juridique qui obscurcit les transferts de données entre l’UE et les États-Unis depuis les arrêts de la CJUE.
Cela dit, des contestations judiciaires du nouveau cadre sont attendues et diverses institutions européennes ont fait part de leurs inquiétudes quant au fait que certains aspects de l’arrangement renégocié ne vont pas assez loin pour répondre aux préoccupations des juges. Il reste donc à voir si ce sera la troisième fois de la chance pour une solution de haut niveau au conflit entre les droits à la vie privée de l’UE et les pratiques de surveillance américaines.
Dans un communiqué commentant la décision de l’organisme de surveillance suédois d’imposer les premières sanctions pour utilisation illégale de Google Analytics, Marco Blocher, avocat spécialisé dans la protection des données, a déclaré : « Nous sommes très heureux des précisions apportées par la DPA suédoise. Il est également important de voir qu’il y a des amendes – c’est le seul moyen d’amener d’autres entreprises à se conformer.”
Google a été contacté pour commenter les décisions de la DPA.
Mise à jour: Google a envoyé cette déclaration :
Les gens veulent que les sites Web qu’ils visitent soient bien conçus, faciles à utiliser et respectueux de leur vie privée. Google Analytics aide les éditeurs à comprendre dans quelle mesure leurs sites et applications fonctionnent pour leurs visiteurs, mais pas en identifiant les individus ni en les suivant sur le Web. Ces organisations, et non Google, contrôlent quelles données sont collectées avec ces outils et comment elles sont utilisées. Google aide en fournissant une gamme de protections, de contrôles et de ressources pour la conformité.