L’outil Google Analytics enfreint-il le RGPD ?
Céline Avignon décrypte pour Solutions Numériques la décision récente de l’Autorité autrichienne de protection des données concernant la conformité au RGPD de l’outil Google Analytics.
Dans un article intitulé « RGPD : Google Analytics dans le collimateur de l’Autriche et de Max Schrems », publié par Solutions Numériques le 17 janvier 2022, Olivier Bellin, rédacteur en chef du site d’information, revient sur la décision rendue jeudi 13 janvier 2022 par l’autorité autrichienne de protection des données personnelles concernant l’outil Google Analytics dont la presse s’est largement fait l’écho.
Une plainte contre Google Analytics déposée par Max Schrems
L’ouverture du dossier fait suite, comme le précise le journaliste, à des plaintes déposées par NOYB (None Of Your Business), une association de défense des droits numériques créée en 2017 par Max Schrems, l’activiste autrichien qui était parvenu à faire annuler en 2020 le Privacy Shield. « Selon l’association NOYB et le DSB, écrit Olivier Bellin, l’Autorité autrichienne de protection des données, l’application Google Analytics enfreint encore le Règlement Général européen de Protection des Données (RGPD). En effet, le moteur de recherche envoie des adresses IP et des données de contact d’utilisateurs européens aux États-Unis. Or, ces données personnelles ne doivent pas quitter l’Europe selon le chapitre 5 du Règlement Général européen de Protection des Données (RGPD). Google contre-attaque en arguant que ces données sont bien cryptées… Un argument jugé non recevable par DSB, la Cnil autrichienne ».
La position du contrôleur européen de la protection des données
Selon Céline Avignon, directrice du département Publicité et marketing électronique du cabinet Lexing Alain Bensoussan Avocats, interrogée par Olivier Bellin, « la décision de l’autorité Autrichienne est à mettre en perspective avec celle du contrôleur européen de la protection des données (EDPS) de début janvier 2022. Dans les deux décisions, il est reproché aux responsables de traitement de ne pas rapporter la preuve ou d’autres informations sur les mesures supplémentaires contractuelles, techniques ou organisationnelles qui auraient été prises pour assurer un niveau de protection équivalent comme cela est exigé depuis la décision Schrems précitée ».
Un signal fort pour les responsables de traitement
Toujours selon Céline Avignon, il serait important, pour la sécurité juridique des responsables de traitement, de savoir, par exemple, si le paramétrage de la solution Google Analytics pourrait permettre d’autoriser de tels flux et « dans l’affirmative que les autorités, comme la Cnil le fait pour les solutions analytics exemptées de consentement, valident un guide de ce paramétrage si bien sûr, elles ne concluent pas définitivement à l’impossibilité d’utiliser Google Analytics conformément au RGPD, en toute circonstance ».
Céline Avignon ajoute enfin que ces deux décisions représentent un signal fort, pour les responsables de traitement et éditeurs de sites internet, qui confirme la position antérieure notamment du CEPD sur la difficulté de mettre en œuvre des mesures supplémentaires efficaces pour autoriser des flux vers les US sur la base des clauses contractuelles types : « coïncidence ou non, les deux décisions concernaient des sites en relation avec la santé. La Cnil, elle, s’est déjà prononcée sur l’application Stop Covid et l’utilisation du re-captcha de Google ».