Condensé #24 - Semaine du 18 Février 2022

Google Analytics bientôt interdit en Europe?

En une ligne dans le reste du monde.

Par Malik Aouadi.

Google Analytics bientôt interdit en Europe?

Près d’un mois après une décision similaire en Autriche, la CNIL (Commission nationale de l'informatique et des libertés française) a elle aussi estimé que l’utilisation des services de Google Analytics constituait une atteinte au sacro-saint Règlement général sur la protection des données (RGPD).

Les autorités nationales de protection

Tout comme des milliers d’autres sites, NetDoktor.at, au cœur de la décision autrichienne, utilise Google Analytics dans la gestion de son site web. Pour faire simple, cet outil permettra au gérant du site, une fois que l’utilisateur aura chargé sa page web, de « placer » un de ces fameux cookie sur l’appareil de ce dernier (« Qu’est-ce qu’un cookie » par la CNIL).

Ce cookie lui permettra de suivre l’activité de l’utilisateur sur son site afin d’en assurer le bon fonctionnement. Évidemment, la collection de ce genre de données personnelles servira surtout à suivre le comportement de l’utilisateur à des fins publicitaires.


Petit problème, toutes ces données passent par les serveurs de Google et finissent par atterrir aux États-Unis. Pour les autorités européennes, ce transfert de données outre Atlantique annonce un énième épisode de scepticisme manifeste sur la protection des données au pays de l’oncle Sam.

Twitter — Alexandre Léchenet

La décision autrichienne

Considéré par beaucoup de commentateurs comme la décision la plus forte depuis l’arrêt Schrems II, ce jugement risque de compliquer (encore davantage) la tâche des professionnels du monde de la protection des données.

L'ARRÊT SCHREMS II

L’arrêt Schrems II est un arrêt rendu en juillet 2020 par la Cour de Justice de l’Union européenne invalidant le Privacy Shield, mécanisme alors utilisé pour les transferts de données européennes sur le territoire américain, estimant que celui-ci ne permettait pas une protection des données au moins équivalente à celle accordée par le RGPD.
La Cour ne s’est pas limitée à invalider ce principe et a également imposé des conditions à l’utilisation de clauses contractuelles types (SCC), le mécanisme actuel de transfert de données personnelles vers des pays tiers, en exigeant l’imposition de garanties adéquates pour assurer un niveau de protection essentiellement équivalent à celui prévu par le droit communautaire.

Publiée le 13 janvier 2022, cette position est la première réponse à une longue liste de 101 plaintes déposées à travers toute l’Europe par le groupe de défense de protection des données NOYB. Selon le collectif, de nombreux services tels que Google Analytics ne respecteraient pas les obligations imposées par Schrems II.

Fondamentalement, ces transferts de données manqueraient de réelle protection contre une surveillance discrétionnaire des autorités américaines, qui disposent d'une flopée de mesures leur permettant ce genre d'invasions de la vie privée.

LES LOIS DE SURVEILLANCE AUX ETATS-UNIS
Dans le pays des libertés, de nombreux outils législatifs servent de base légale à de la surveillance de la population civile:

  • Section 702 of the Foreign Intelligence Surveillance Act: cet instrument permet notamment au gouvernement de mener une surveillance ciblée des personnes étrangères situées en dehors des États-Unis, et ce, avec l'aide contrainte des fournisseurs de services de communication électronique.

  • Executive Order 12333: cet outil attribue aux différentes agences de renseignement américaines la responsabilité de différents types d'activités de collecte de renseignements et de contre-espionnage manifestes et clandestines, et impose des restrictions aux activités de certaines agences.

  • Le Cloud Act : dans une moindre mesure, cette loi permet au gouvernement américain d’accéder aux données dans le cadre d’enquêtes criminelles, moyennant l’obtention d’un mandat délivré par un tribunal indépendant sur base de « cause probable ».

En résumé, il est théoriquement possible pour les agences de renseignement américaines de recueillir d’énormes quantités de données transférées dans le pays, y compris celles d’origines européennes.

Cette vision semble avoir convaincu l’autorité autrichienne. Cette dernière a effectivement estimé que la traite et le transfert des données aux États-Unis opérés Google Analytics ne prévenaint pas suffisamment ces données d’une surveillance potentielle du gouvernement américain. De plus, le juge autrichien ajoute que les protections techniques supplémentaires implémentées par le géant américain - telles que le cryptage des données ou la limitation de l’accès aux centres de données -  ne suffisent pas à empêcher la réidentification potentielle de ces données par Google ou par les autorités américaines

Pour autant, cette décision n’a vocation à s’appliquer qu’en Autriche. À moinsque cela ne donne des idées à d’autres juridictions évidemment, à commencer par la France.

La décision française

Tant sur le fond que la forme, la France ne s’éloigne pas foncièrement de la position autrichienne.

La Commission nationale française rappelle que les transferts de données vers les Etats-Unis ne peuvent avoir lieu que si des garanties appropriées sont prévues à cet effet. Et comme son homologue européen, l’autorité estime que de telles garanties ne sont pas apportées dans le cadre de l’utilisation de Google Analytics et qu’il « existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées ».

Le gestionnaire du site litigieux dispose d’un délai d’un mois pour se mettre en conformité avec le RGPD, si nécessaire en cessant l’utilisation de la fonctionnalité proposée par Google.

Schrems III? Giphy.

La réponse de Google

De son côté, Google a réagi par un post sur son blog en précisant qu’en plus de 15 ans d’activité, ces derniers n’ont jamais reçu la moindre demande de ce genre de la part des autorités américaines. Quoi qu’ils puissent exprimer, le titre de ce post trahit l’inquiétude latente de l’entreprise américaine sur la nécessité de (re-)réguler les transferts EU-USA.

La prochaine décision sur le sujet pourrait venir des Pays-Bas, où l’autorité de protection de protection des données nationale a récemment déclaré enquêter sur deux plaintes concernant l’utilisation de Google Analytics.

Le coup de grâce pour Google Analytics en Europe?

Dans le reste du monde:

  • Elon Musk fait don d'actions Tesla d'une valeur de 5,7 milliards de dollars à des œuvres de charité.

  • La Belgique pointée par le Conseil de l’Europe pour les stages non rémunérés.

  • Le tribunal judiciaire de Paris ordonne aux fournisseurs d'accès à internet français de "bloquer l'accès aux sites de streaming frauduleux qui mettent à disposition des flux illégaux et non autorisés de matches de Ligue des Champions".

  • YouTube a généré 28,8 milliards de dollars de recettes publicitaires en 2021.

  • Le Royaume-Uni procède à la première saisie de NFT dans le cadre de la répression fiscale.

  • Chanel et Saint Laurent s'allient en faveur de la propriété intellectuelle des maisons de luxe.

  • Les smartphones chinois présentent «un risque d’espionnage»selon la Belgique.

  • IPTV: ce que risquent les consommateurs.

  • Aux États-Unis, des robots patrouillent à la frontière mexicaine.

  • À quoi ressemble la fashion week dans le métaverse ?

  • Bumble s'offre l'application de rencontres française Fruitz.

  • 3% des 0-2 ans utilisent Internet.

  • "Turkey": pour ne plus être confondue avec la "dinde", la Turquie va changer son nom anglais.

  • Le Massachusetts, où les magasins vendent de la marijuana récréative depuis 2018, a perçu plus de taxes d'accise sur les ventes de cannabis que sur l'alcool pour la toute première fois au cours de cette année fiscale.