Est-ce la fin de Google Analytics en Europe ?
La version actuelle de Google Analytics ne convient pas à l'autorité autrichienne de la protection des données, qui la juge non conforme au RGPD. Réagissant à cette décision, son homologue néerlandais – qui enquête sur l'utilisation de cet outil – alerte sur la possibilité que Google Analytics ne soit plus autorisé en Europe. Ce sont les transferts de données personnelles des Européens vers les Etats-Unis qui constituent le coeur de ces procédures.
L'autorité autrichienne de la protection des données (la Datenschutzbehörde) a jugé que l'utilisation de Google Analytics violait le Règlement général sur la protection des données (RGPD) dans une décision rendue le 13 janvier 2022. Elle a estimé qu'en transférant des données personnelles vers les Etats-Unis, cet outil viole l'arrêt Schrems II qui a invalidé le Privacy Shield. Ce texte facilitait les flux de données outre-Atlantique en reconnaissant que le droit américain offrait des garanties équivalentes au droit européen.
A l'initiative de Noyb
C'est encore une fois l'association Noyb qui est à l'initiative de cette procédure. A l'issue de l'arrêt de la Cour de justice de l'Union européenne, elle avait déposé 101 plaintes devant les autorités de protection des données de 30 Etats de l'Union européenne et de l'Espace économique européen (EEE). Etaient concernées des entreprises européennes qui transmettaient des données personnelles à Google et à Facebook. Ces deux entreprises "admettent qu'elles transfèrent des données d'Européens aux Etats-Unis pour traitement (…) Or, ni Google Analytics ni Facebook Connect ne sont essentiels au fonctionnement de ces pages web", expliquait Max Schrems, le président d'honneur de Noyb, à cette époque.
Dans une lettre du 9 avril 2021, Google expliquait que des "mesures techniques et organisationnelles" avaient été prises pour protéger les données personnelles des Européens. Il promettait par exemple d'évaluer chaque demande gouvernementale d'accès aux données par une équipe spécialisée, de notifier la demander à l'utilisateur concerné… Or, l'autorité autrichienne doute que ces mesures soient suffisantes pour empêcher les autorités américaines d'accéder aux données personnelles des Européens.
Pour Max Schrems, la conclusion est claire : "les entreprises ne peuvent plus utiliser les services américains de cloud en Europe. Cela fait maintenant un an et demi que la Cour de justice l'a confirmé, il est donc temps que la loi soit appliquée".
Vers une interdiction totale de Google Analytics ?
La décision de l'autorité autrichienne engendre déjà des conséquences. L'autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens) a placé un nouvel avertissement sur la page concernant le fonctionnement de Google Analytics. Il s'agit d'une sorte de manuel pour configurer l'outil de manière à respecter la législation sur la protection des données. "L'utilisation de Google Analytics pourrait bientôt ne plus être autorisée", peut-on lire depuis le 13 janvier 2022 en réaction à la décision de l'autorité autrichienne.
L'AP mène également sa propre enquête sur l'utilisation de Google Analytics. Ses conclusions devraient être publiées en ce début d'année et permettront de savoir si l'outil est conforme ou non au RGPD.
Google se défend
Pour se défendre, Russel Ketchum, product manager au sein de Google, a rédigé un billet de blog dans lequel il rappelle les avantages de Google Analytics. "Les organisations utilisent Google Analytics parce qu'elles choisissent de le faire. C'est eux, et non Google, qui contrôlent les données collectées et la manière dont elles sont utilisées", se défend-il.
Le Parlement européen a également été épinglé cette semaine par le Contrôleur européen de la protection des données (EDPS) pour sa mauvaise gestion des données personnelles. C'est le recours à des cookies associés à Google Analytics et à Stripe qui était concerné. Etant deux entreprises américaines, les données collectées sont envoyées aux Etats-Unis. Or, l'EDPS a estimé que le Parlement n'avait pas démontré qu'il avait appliqué les garanties nécessaires pour s'assurer que les transferts de données vers les Etats-Unis respectent pleinement la décision Schrems II.
Plusieurs options sur la table
Est-ce pour autant la fin de Google Analytics ? D'après Noyb, deux options sont possibles : "soit les Etats-Unis adaptent les protections de base pour les personnes étrangère afin de soutenir leur industrie technologie, soit les fournisseurs américains hébergent les données des utilisateurs non-américains en dehors des Etats-Unis". Le problème est que même hébergées en Europe, les données peuvent être réclamées par les autorités américaines en vertu du Cloud Act. Ce qui compte ce n'est pas la géolocalisation des informations mais la nationalité de l'entreprise les hébergeant.
Une troisième option semble possible : que Google modifie les paramètres de confidentialité de son outil d'analyse du trafic afin de répondre aux exigences des régulateurs européens. Il s'agirait de la voie la plus simple. Car, pour rappel, Google Analytics est utilisé par la très grande majorité des sites pour mesurer leur audience, identifier les parties les plus performantes et les pages les plus consultées.
La fin des outils collaboratifs américains dans les universités
Quid de tous les autres outils proposés par des entreprises américaines et largement adoptés par des acteurs européens ? A ce sujet, la Commission nationale de l'informatique et des libertés (Cnil) a déclaré en mai dernier qu'il était nécessaire de trouver des alternatives aux outils collaboratifs édités par des entreprises américains dans l'enseignement supérieur et de la recherche. "Dans certains cas, des transferts de données personnelles vers les États-Unis dans le cadre de l’utilisation des 'suites collaboratives pour l’éducation'" peuvent se produire, écrivait-elle. Or, les données traitées par ces établissements concernent un nombre important d’utilisateurs (étudiants, chercheurs, enseignants, personnel administratif).
Le directeur interministériel du numérique (Dnium), Nadi Bou Hanna, a publié une circulaire le 15 septembre 2021 indiquant que l'offre Microsoft 365 (anciennement Office 365) n'était pas "conforme à la doctrine Cloud au centre". Celle-ci impose aux ministères et administrations de recourir uniquement à des clouds sécurisés et immunisés contre les réglementations extracommunautaires. En remplacement, les ministères sont tenus d'utiliser la solution cloud interne de l'Etat ou une offre ayant reçu le label "SecNumCloud" délivré par l'Agence nationale de la sécurité des systèmes d'information (Anssi). A l'heure actuelle, seules trois entreprises – Oodrive, 3DS Outscale, OVHcloud – ont reçu ce précieux sésame pour certaines de leurs activités.
Les offres hybrides, la meilleure issue ?
En France, une issue pourrait être trouvée avec les futures solutions hybrides permettant à des entreprises françaises de distribuer des solutions proposées par des entreprises étrangères sous licence. C'est ainsi que Thales et Google Cloud ont annoncé leur coopération, emboîtant le pas à Microsoft, Orange et Capgemini. Ces offres n'existent toujours pas à l'heure actuelle. Cédric O, le secrétaire d'Etat à la transition numérique et aux communications électroniques n'avait pas caché la complexité de cette question aussi bien techniquement que juridiquement. "Mais notre volonté c'est de protéger les Français", avait-il finalement conclu lors de son interview avec L'Usine Digitale.
SUR LE MÊME SUJET
Est-ce la fin de Google Analytics en Europe ?
Tous les champs sont obligatoires
0Commentaire
Réagir
