Le début de la fin

Dans le prolongement de la décision Schrems II[2], noyb[3], l'organisation à but non lucratif dirigée par Max Schrems, n'est pas restée les bras croisés. Elle a ainsi déposé 101 plaintes concernant des transferts de données de sites internet basés dans l'EEE vers les États-Unis qu'elle juge illégaux. La première des décisions[4] relatives à ces plaintes a été rendue par la DSB et il semble que les choses ne soient pas plus faciles pour Google, Facebook et leurs semblables.

Un bref rappel de la décision Schrems II vous rappellera que la Cour de Justice de l'Union Européenne (ci-après "CJUE") a statué que tout transfert international de données à caractère personnel de l'EEE vers des fournisseurs basés aux États-Unis qui sont liés par des règles leur imposant de fournir un accès à certains services de renseignement américains, est en violation des règles de transfert international de données du RGPD. Cette décision a rendu nul et non avenu l'ensemble du cadre du bouclier de protection de la vie privée (Privacy Shield[5]), qui permettait des transferts "sûrs" de données de l'EEE vers les États-Unis, ouvrant ainsi la voie à une nouvelle ère où les entreprises basées dans l'EEE ne peuvent plus faire appel à des fournisseurs de services en nuage (cloud) basés aux États-Unis, tels que Google[6].

Balayer sous le tapis, pas plus

La récente décision de la DSB montre que l'arrêt Schrems II ne sera pas ignoré par les géants de la technologie et sera appliqué à tous les niveaux. Ce n'est un secret pour personne qu'à ce jour, la majorité des sites web basés dans l'EEE utilisent Google Analytics comme outil de prédilection pour analyser le comportement des visiteurs de leur site. C'est logique puisque l'outil lui-même est gratuit (les visiteurs du site paient avec leurs données) et qu'il fournit au fournisseur du site l'une des analyses les plus complètes des données du site sur le marché actuel. Cela a donné à Google l'impression qu'il pouvait continuer à transférer des données de l'EEE vers les États-Unis comme si Schrems II n'avait jamais eu lieu. La décision de la DSB a finalement mis un premier coup d'arrêt à ce comportement indiscipliné du géant de la technologie.

Cette décision indique tout d'abord qu'en utilisant Google Analytics, le fournisseur du site web a envoyé des informations personnelles à Google aux Etats-Unis. Google et le fournisseur du site web ont tenté de faire valoir qu'il ne s'agissait pas d'informations personnelles mais plutôt d'informations anonymes, mais cet argument a été rejeté par la DSB étant donné que Google peut facilement (ré)identifier les visiteurs du site web en utilisant, entre autres, leurs adresses IP et d'autres identifiants uniques tels que les cookies. Le fait que Google permette à ses utilisateurs d'accepter ou de refuser les annonces personnalisées montre qu'il dispose de tous les moyens pour identifier les visiteurs du site[7].

Une bataille perdue d'avance

Cela signifie que le transfert international de ces données de l'EEE vers les États-Unis relève des règles du RGPD. Le transfert a été analysé et a été jugé non conforme aux règles de transfert international de données de l'article 44. De plus, les mesures mises en place par le RGPD pour assurer un niveau adéquat de protection des données ont été jugées insuffisantes. En effet, les clauses contractuelles types et les mesures techniques et organisationnelles de base prévues à l'article 32 du RGPD mises en place par Google ne fournissent pas une protection supplémentaire et adéquate contre l'intrusion des données transférées par les services de renseignement américains[8].

Cette décision, probablement la première d'une longue série, aura de sérieuses implications pour les fournisseurs de sites Web de l'EEE et pour Google, étant donné que l'utilisation de son outil Google Analytics, un élément majeur de sa base publicitaire, est de facto interdite dans son état actuel. Google a répondu dans une déclaration à la décision de la DSB avec les mêmes arguments que ceux qui ont été écartés par la décision elle-même, ce qui n'aide pas davantage sa cause[9]. Le fait que le directeur juridique de Google demande en même temps la mise en place d'un nouveau réseau de transfert de données entre l'UE et les États-Unis indique également que l'entreprise n'est pas en mesure de garantir un niveau de protection adéquat pour le transfert actuel de données personnelles de l'EEE vers les États-Unis et qu'elle n'a donc aucune défense mesurable contre les décisions à venir des autorités européennes de protection des données[10].

Un effet de vague

La décision a déjà provoqué un effet de vague important parmi les autres autorités de protection des données. Datatilsynet (l'autorité danoise de protection des données), par exemple, va lire attentivement la décision de la DSB. D'autres suivront très certainement et créeront des orientations basées sur ces décisions[11]. Cette tendance sera probablement observée dans presque tous les autres pays de l'EEE entrant dans le champ d'application du RGPD.

Par ailleurs, l'autorité de protection des données de Guernesey a supprimé Google Analytics de son site web en signe de soutien et de respect des règles du RGPD à la suite de l'arrêt Schrems II et de la décision de la DSB[12].

L'autorité néerlandaise de protection des données, Autoriteit Persoonsgegevens, a déjà publié un guide sur la façon de configurer les paramètres de Google Analytics pour les fournisseurs de sites web néerlandais, indiquant clairement qu'il est possible que l'utilisation de Google Analytics soit interdite dans un avenir proche, un mauvais présage pour Google. Deux enquêtes sont actuellement en cours à ce sujet. Elles seront probablement terminées dans les mois à venir et décideront du sort de Google Analytics aux Pays-Bas. Nous espérons que d'autres autorités de protection des données suivront le mouvement.

Le début de la finDans le prolongement de la décision Schrems II[2], noyb[3], l'organisation à but non lucratif dirigée par Max Schrems, n'est pas restée les bras croisés. Elle a ainsi déposé 101 plaintes concernant des transferts de données de sites internet basés dans l'EEE vers les États-Unis qu'elle juge illégaux. La première des décisions[4] relatives à ces plaintes a été rendue par la DSB et il semble que les choses ne soient pas plus faciles pour Google, Facebook et leurs semblables.Un bref rappel de la décision Schrems II vous rappellera que la Cour de Justice de l'Union Européenne (ci-après "CJUE") a statué que tout transfert international de données à caractère personnel de l'EEE vers des fournisseurs basés aux États-Unis qui sont liés par des règles leur imposant de fournir un accès à certains services de renseignement américains, est en violation des règles de transfert international de données du RGPD. Cette décision a rendu nul et non avenu l'ensemble du cadre du bouclier de protection de la vie privée (Privacy Shield[5]), qui permettait des transferts "sûrs" de données de l'EEE vers les États-Unis, ouvrant ainsi la voie à une nouvelle ère où les entreprises basées dans l'EEE ne peuvent plus faire appel à des fournisseurs de services en nuage (cloud) basés aux États-Unis, tels que Google[6].Balayer sous le tapis, pas plusLa récente décision de la DSB montre que l'arrêt Schrems II ne sera pas ignoré par les géants de la technologie et sera appliqué à tous les niveaux. Ce n'est un secret pour personne qu'à ce jour, la majorité des sites web basés dans l'EEE utilisent Google Analytics comme outil de prédilection pour analyser le comportement des visiteurs de leur site. C'est logique puisque l'outil lui-même est gratuit (les visiteurs du site paient avec leurs données) et qu'il fournit au fournisseur du site l'une des analyses les plus complètes des données du site sur le marché actuel. Cela a donné à Google l'impression qu'il pouvait continuer à transférer des données de l'EEE vers les États-Unis comme si Schrems II n'avait jamais eu lieu. La décision de la DSB a finalement mis un premier coup d'arrêt à ce comportement indiscipliné du géant de la technologie.Cette décision indique tout d'abord qu'en utilisant Google Analytics, le fournisseur du site web a envoyé des informations personnelles à Google aux Etats-Unis. Google et le fournisseur du site web ont tenté de faire valoir qu'il ne s'agissait pas d'informations personnelles mais plutôt d'informations anonymes, mais cet argument a été rejeté par la DSB étant donné que Google peut facilement (ré)identifier les visiteurs du site web en utilisant, entre autres, leurs adresses IP et d'autres identifiants uniques tels que les cookies. Le fait que Google permette à ses utilisateurs d'accepter ou de refuser les annonces personnalisées montre qu'il dispose de tous les moyens pour identifier les visiteurs du site[7]. Une bataille perdue d'avanceCela signifie que le transfert international de ces données de l'EEE vers les États-Unis relève des règles du RGPD. Le transfert a été analysé et a été jugé non conforme aux règles de transfert international de données de l'article 44. De plus, les mesures mises en place par le RGPD pour assurer un niveau adéquat de protection des données ont été jugées insuffisantes. En effet, les clauses contractuelles types et les mesures techniques et organisationnelles de base prévues à l'article 32 du RGPD mises en place par Google ne fournissent pas une protection supplémentaire et adéquate contre l'intrusion des données transférées par les services de renseignement américains[8].Cette décision, probablement la première d'une longue série, aura de sérieuses implications pour les fournisseurs de sites Web de l'EEE et pour Google, étant donné que l'utilisation de son outil Google Analytics, un élément majeur de sa base publicitaire, est de facto interdite dans son état actuel. Google a répondu dans une déclaration à la décision de la DSB avec les mêmes arguments que ceux qui ont été écartés par la décision elle-même, ce qui n'aide pas davantage sa cause[9]. Le fait que le directeur juridique de Google demande en même temps la mise en place d'un nouveau réseau de transfert de données entre l'UE et les États-Unis indique également que l'entreprise n'est pas en mesure de garantir un niveau de protection adéquat pour le transfert actuel de données personnelles de l'EEE vers les États-Unis et qu'elle n'a donc aucune défense mesurable contre les décisions à venir des autorités européennes de protection des données[10].Un effet de vagueLa décision a déjà provoqué un effet de vague important parmi les autres autorités de protection des données. Datatilsynet (l'autorité danoise de protection des données), par exemple, va lire attentivement la décision de la DSB. D'autres suivront très certainement et créeront des orientations basées sur ces décisions[11]. Cette tendance sera probablement observée dans presque tous les autres pays de l'EEE entrant dans le champ d'application du RGPD.Par ailleurs, l'autorité de protection des données de Guernesey a supprimé Google Analytics de son site web en signe de soutien et de respect des règles du RGPD à la suite de l'arrêt Schrems II et de la décision de la DSB[12].L'autorité néerlandaise de protection des données, Autoriteit Persoonsgegevens, a déjà publié un guide sur la façon de configurer les paramètres de Google Analytics pour les fournisseurs de sites web néerlandais, indiquant clairement qu'il est possible que l'utilisation de Google Analytics soit interdite dans un avenir proche, un mauvais présage pour Google. Deux enquêtes sont actuellement en cours à ce sujet. Elles seront probablement terminées dans les mois à venir et décideront du sort de Google Analytics aux Pays-Bas. Nous espérons que d'autres autorités de protection des données suivront le mouvement.