Une décision de l’Autorité autrichienne de protection des données inquiète les professionnels sur l'utilisation de l'outil Google Analytics. Quel en est véritablement la portée ?
C’est une décision qui a fait couler beaucoup d’encre. Le 20 janvier, l’Autorité autrichienne de la protection des données personnelles a rendu une décision sur une plainte déposée par le militant Max Schrems, et son association None of Your Business. Max Schrems n’est pas inconnu des avocats sur les données personnelles. Il est à l’origine de l’invalidation du Safe Harbor, en 2015, et du Privacy Shield, en 2020, deux textes juridiques qui encadraient le transfert des données entre l’Europe et les États-Unis. Deux de ses plaintes ont conduits aux deux arrêts du même nom, Schrems I et Shrems II, les invalidant. Après l’éclatement de l’affaire Snowden et la mise au jour du système de surveillance aux États-Unis, difficile de garantir la protection des données personnelles des Européens lorsque celles-ci étaient conservées sur le territoire américain. Ainsi depuis 2020, sans accord cadre, ce sont des «clauses contractuelles types» particulières, qui déterminent si la protection des données est suffisante, mais leur portée juridique est plus faible.
«Cas particulier»
La plainte déposée en Autriche concernait un site internet précis, qui utilisait Google Analytics. L’Autorité a considéré que la protection des utilisateurs était trop faible, notamment la collecte de cookie, qui rendait toujours possible techniquement de retrouver l’identité d’un citoyen européen. Donc, le RGPD n’était pas respecté.
Mais Google Analytics est utilisé par la plupart des sites web pour analyser leur trafic. Faut-il s’inquiéter ? Maître Etienne Drouard, avocat spécialiste des données pour le cabinet Hogan Lovells ne s’alarme pas : «Est-ce que 95% des sites internet vont devoir changer d’outils et est-ce que Google Analytics sera banni du marché européen ? La décision ne dit pas cela. Elle est un cas particulier. Elle ne parle aucunement d’invalidité globale, puisque c’est le site qui était visé, ainsi que ses pratiques, non l’outil». Juridiquement parlant, elle n’a fait qu’un raisonnement particulier. Même son de cloche du côté de Google. «Ce sont ces organisations, et non Google, qui contrôlent les données collectées avec les outils analytics et la manière dont elles sont utilisées.», affirme un porte-parole. À chacun de s’assurer de son bon droit. Fermez le ban. Du côté des professionnels, on reste aux aguets. La Fevad affirme «Suivre le dossier de près, avec ses homologues européens.» C’est que Max Schrems a déposé d’autres plaintes dans d’autres pays d’Europe. «Si la décision de la Cnil autrichienne devait faire boule de neige en Europe, cela pourrait en effet avoir un impact important pour toutes les entreprises utilisatrices de ce type de solutions», s’inquiète la fédération. Le souci, c’est qu’à l’heure actuelle, «chaque entreprise doit renseigner en détails les mesures techniques et organisationnelles de l’utilisation des données. Chacun doit donc devenir spécialiste en droit constitutionnel américain pour savoir dans quelle mesure il peut être une cible des services judiciaires.» Une position qui n’est pas tenable dans l’économie actuelle. Chacun plaide donc pour la définition d’un accord stable déterminant les conditions de transfert des données vers les États-Unis. Rapidement...