Étant donné que Google pouvait accéder aux données en texte brut, les données n’étaient pas protégées d’une surveillance potentielle, selon la décision de l’organisme. « Ce transfert a été jugé illégal car il n’y avait pas de niveau de protection adéquat pour les données personnelles transférées », a déclaré Matthias Schmidl, directeur adjoint du régulateur autrichien des données. Il ajoute que les opérateurs de sites Web ne peuvent pas utiliser Google Analytics et se conformer au RGPD.
Pour le moment, la décision ne s’applique qu’en Autriche et n’est pas définitive. Les sites Web à travers l’Europe ne vont pas soudainement cesser d’utiliser Google Analytics. NetDoktor n’a pas répondu à une demande de commentaire. « Bien que cette décision n’affecte directement qu’un seul éditeur en particulier et ses circonstances spécifiques, elle peut laisser présager des défis plus larges », a déclaré Kent Walker, vice-président senior pour les affaires mondiales et directeur juridique de Google. Dans un article de blog publié le 19 janvier, Walker déclare que l’entreprise estime que les mesures techniques qu’elle a mises en place protègent les données des personnes, et que ce type de décision pourrait avoir un impact sur la façon dont les données circulent dans « l’ensemble de l’écosystème commercial européen et américain ».
Et ce n’est que le début. Lorsque noyb a déposé la plainte contre NetDoktor en août 2020, il a également déposé 100 autres dossiers auprès d’autres autorités de protection des données à travers l’Europe. « Ce n’est pas spécifique à Google Analytics. Il s’agit essentiellement d’externaliser vers des fournisseurs américains en général », déclare Schrems.
Les régulateurs de 30 pays européens enquêtent actuellement sur les autres cas, qui couvrent à la fois l’utilisation de Google Analytics et de Facebook Connect, l’outil de l’entreprise pour lier votre compte à d’autres sites. Les sites Web spécifiques à un pays appartenant à Airbnb, Sky, Ikea et The Huffington Post font également l’objet de plaintes. « La majorité de ces décisions auront des résultats identiques ou similaires », déclare Zanfir-Fortuna. C’est probablement, dit-elle, car noyb a utilisé les mêmes arguments juridiques pour tous ses cas, et en réponse, les régulateurs de la protection des données ont formé un groupe de travail pour discuter des questions juridiques. « Nous nous attendons à ce que cela se mobilise pays par pays, où qu’il tombe », a déclaré Schrems.
L’autorité néerlandaise de protection des données, Autoriteit Persoonsgegevens, affirme qu’elle finalise son enquête et n’a pas exclu la possibilité que l’utilisation de Google Analytics sous sa forme actuelle soit interdite. En Allemagne, où les problèmes de données sont réglementés par région, l’autorité de protection des données de Hambourg a reçu deux plaintes de noyb et déclare que dans un cas, le site Web a supprimé Google Analytics, il « ne prévoit donc pas d’émettre d’ordres ou d’amende » dans ce cas. Il enquête toujours sur l’autre cas.
Malgré la coordination des régulateurs de données, il peut y avoir des divergences d’opinion, déclare Simon McGarr, directeur de la conformité des données pour l’Europe chez McGarr Solicitors. « La position autrichienne se situe probablement à une extrémité d’un éventail d’opinions – et elle représenterait probablement l’extrémité la plus radicale », dit-il, ajoutant que d’autres organismes de données approuveront, modifieront ou rejetteront ce raisonnement. Les désaccords entre les 27 responsables de l’application du RGPD dans l’UE ne sont pas rares : l’année dernière, une amende de l’Autorité irlandaise de protection des données contre WhatsApp a été augmentée de 175 millions d’euros après que d’autres régulateurs n’étaient pas d’accord avec la décision. McGarr dit qu’il est possible que d’autres régulateurs de l’UE examinant les cas de noyb parviennent à des conclusions différentes en fonction des faits de chaque cas.