Une décision de l’autorité autrichienne de protection des données (APD) confirme que la transmission de données personnelles dans le cadre de Google Analytics et Facebook Connect constitue une violation du GDPR.
Il s’agit de la première décision d’une série de 101 plaintes similaires déposées dans 30 pays européens.
Plus précisément, l’APD autrichienne déclare que l’ancien site web médical Netzdoktor.at a transmis des données personnelles à Google Analytics sans garantir un niveau de protection adéquat, et que cela est contraire à l’article 44 du GDPR.
L’utilisation de clauses contractuelles types n’a expressément pas été considérée comme une protection adéquate, en raison de la législation et de la pratique en matière de surveillance gouvernementale aux États-Unis.
Par conséquent, l’utilisation de Google Analytics et de Facebook Connect devient problématique.
Schrems II
C’est le résultat d’un arrêt rendu en juillet 2020 par la Cour de justice de l’Union européenne sur la circulation des données personnelles entre l’Europe et les États-Unis. La Cour a jugé que l’accord Privacy Shield alors en vigueur entre l’Europe et les États-Unis ne fournissait pas de garanties suffisantes pour la protection des données personnelles en raison de la législation qui pourrait obliger les entreprises américaines à divulguer ces informations au gouvernement.
Des entreprises ayant largement ignoré cet arrêt, 101 plaintes ont été déposées dans 30 pays peu de temps après, en réponse à la transmission de données personnelles de sites web à Google Analytics et Facebook Connect. La personne concernée – assistée par l’organisation de protection des droits NYOB – a affirmé aux APD qu’il s’agissait d’une violation du GDPR. Cela a maintenant été confirmé dans un premier cas concret.
C’est aussi le premier arrêt d’une série qui risque d’être longue, puisque la procédure est coordonnée par un groupe de travail européen.
Il est intéressant de noter que le site web a été condamné, mais pas Google lui-même (bien qu’une affaire distincte soit toujours en cours à ce sujet). Il n’a pas non plus été déterminé si une amende serait imposée, et encore moins quel en serait le montant.
Ce qui est clair, c’est que l’entreprise qui joue le rôle de “controller” – responsable du traitement, qui décide quelles données personnelles sont collectées et ce qui en est fait – assume les conséquences éventuelles. Et donc pas, par exemple, un constructeur de site externe qui a proposé et intégré l’utilisation de Google Analytics. En bref, c’est le responsable du traitement qui doit prendre ses responsabilités.
Que faire ?
Tout d’abord, vérifiez si Google Analytics et/ou Facebook Connect sont utilisés sur des sites web pour lesquels vous avez le contrôle de l’utilisation des données personnelles. Si oui, vérifiez comment l’utilisation d’Analytics et/ou de Connect est configurée. Si des données personnelles sont transmises sans protection (c’est-à-dire non anonymisées ou pseudonymisées, ou adaptées trop tard) et peuvent donc être demandées et utilisées tout simplement par des tiers, vous avez des problèmes.
Attention : il s’agit de toutes les données pouvant conduire à l’identification de la personne concernée. Donc y compris les cookies, l’empreinte digitale numérisée des appareils, etc.
Le NYOB fournit des listes de questions que vous pouvez poser dans le cadre des clauses contractuelles types concernant la législation à laquelle l’entreprise américaine est soumise. Également applicables aux entreprises qui traitent des données personnelles dans l’Union européenne et qui ont des liens vers les États-Unis.
Déterminez si vous avez vraiment besoin de Google Analytics et/ou de Facebook Connect. Examinez s’il existe des outils d’analyse qui répondent à vos besoins et qui sont conformes au GDPR. Il existe en effet d’autres outils d’analyse que Google Analytics.
