L’utilisation de Google Analytics, un outil omniprésent utilisé par des millions de sites Web pour mesurer leur audience et le comportement des internautes, pourrait être fondamentalement remise en cause à l’échelle européenne.
C’est en tout cas le sens d’une décision rendue jeudi 13 janvier par l’autorité autrichienne de protection des données personnelles qui pourrait préfigurer une vague de décisions similaires par certaines de ses homologues européennes, fragilisant le fonctionnement des grands services numériques en Europe. L’autorité autrichienne a, en effet, estimé qu’un site Internet portant sur le domaine de la santé ne respectait pas le règlement général sur la protection des données (RGPD), car il utilisait ce service de Google.
Pour la Datenschutzbehörde (DSB), l’équivalent autrichien de la Commission nationale de l’informatique et des libertés (CNIL), c’est le transfert vers les Etats-Unis des données des internautes européens se rendant sur ce site qui pose problème. Elle a estimé que, malgré leur pseudonymisation, ces données pouvaient facilement être recombinées pour identifier individuellement des internautes, notamment par les services de renseignement américains. « En visitant un site utilisant Google Analytics, un numéro unique est assigné au navigateur Web de l’internaute. (…) Il est possible de combiner ce numéro avec d’autres informations, comme l’adresse IP ou d’autres données issues du navigateur. Cette combinaison peut créer un identifiant unique qui peut être assigné à l’utilisateur du navigateur », détaille la DSB.
Chiffrement insuffisant
Cette décision est consécutive à l’une des 101 plaintes que l’activiste Max Schrems a déposées en 2020 auprès de plusieurs autorités de protection des données européennes, après sa victoire devant la Cour de justice de l’Union européenne (CJUE). Cette dernière, dans l’arrêt dit « Schrems II », a jugé en juillet 2020 que le droit américain était fondamentalement incompatible avec celui de l’Union européenne (UE). En cause : la possibilité pour des autorités américaines, par exemple les services de renseignement, de contourner le RGPD en obtenant des données personnelles d’Européens.
La DSB s’est, cependant, refusée, à ce stade, à sanctionner Google pour son utilisation des données, estimant que seul le site autrichien était fautif pour avoir pris part au transfert de données d’Europe vers les Etats-Unis. Elle a également estimé que les précautions prises par Google pour protéger les données collectées par son service, par exemple leur chiffrement, étaient insuffisantes.
« C’est une décision sensée et détaillée. Au fond, cela signifie que les entreprises ne peuvent plus utiliser les services de cloud américains. Cela fait maintenant un an et demi que la Cour de justice l’a confirmé pour la seconde fois, il était donc plus que temps que la loi soit appliquée », s’est réjoui Max Schrems.
Signe de l’importance du sujet, Kent Walker, le responsable mondial des affaires publiques de Google a pris la plume, mercredi 19 janvier, pour réagir vivement : « Google offre des outils de mesure d’audience depuis plus de quinze ans à des entreprises du monde entier. Et depuis tout ce temps, nous n’avons pas une seule fois reçu le type de demande [des autorités américaines] sur laquelle spécule [la DSB]. Et nous ne nous attendons pas à en recevoir, car ce genre de requête aurait peu de chance de rentrer dans l’objet très restreint de la loi américaine. »
Facebook Connect également visé
Si Google est inquiet, c’est que cette décision en préfigure sans doute d’autres. En effet, les 101 plaintes ont fait l’objet d’une coordination entre autorités de protection des données personnelles. Les décisions qui devraient être rendues prochainement dans chacun de ces cas devraient donc aller dans le même sens. La décision de la DSB intervient, par exemple, quelques jours après une action similaire de l’autorité de protection des données personnelles des institutions de l’UE, qui a déterminé que l’utilisation de Google Analytics par le Parlement européen n’était pas conforme au RGPD.
Ce service de Google n’est pas le seul à être visé par ces plaintes : plusieurs d’entre elles visent Facebook Connect, un outil proposé par Facebook qui permet d’utiliser son compte sur le réseau social pour se connecter sur un site tiers.
Parmi les 101 plaintes déposées en 2020 par Max Schrems, plusieurs l’ont été en France, car visant des entreprises françaises. Elles concernent le Huffpost, un site d’actualités appartenant au groupe Le Monde, Leroy Merlin, Free mobile (filiale d’Iliad, dont le principal actionnaire, Xavier Niel, est actionnaire à titre individuel du Monde) à qui M. Schrems reproche l’utilisation de Facebook Connect, ainsi que Decathlon, Auchan et Sephora, pointés pour avoir utilisé Google Analytics. La CNIL devrait rendre prochainement des décisions à ce sujet.
Une décision qui annonce un mouvement de fond
Plus fondamentalement encore, la décision de la DSB augure d’un mouvement de fond, issu de la décision « Schrems II » qui rend tout transfert de données personnelles de l’Europe vers les Etats-Unis – soit le cœur de l’activité des grands fournisseurs de « cloud » et des grandes plates-formes numériques – potentiellement problématique au regard du droit européen. L’autorité de protection des données irlandaise est justement censée aboutir prochainement à une décision dans laquelle elle pourrait ordonner à Facebook de cesser purement et simplement le transfert des données entre Europe et Etats-Unis.
Google appelle les exécutifs américain et européen à s’entendre « rapidement » sur un texte encadrant les échanges de données entre l’UE et les Etats-Unis
Kent Walker, de Google, alerte sur les conséquences en cascade de décisions similaires à celles de la DSB : « Les gens dépendent de plus en plus des transferts de données pour leurs achats en ligne, leurs voyages, leurs livraisons, voire le télétravail, la gestion des relations clients ou les opérations de sécurité », alerte-t-il, assurant que des « centaines de milliards d’euros » sont en jeu. Mais que préconise Google ? L’entreprise estime que la décision de la CJUE de juillet 2020 n’impose pas de « stopper tout mouvement de données » en raison de la « simple possibilité d’accès par un autre gouvernement ». Google croit donc avoir pris des mesures de sécurisation supplémentaires qui assurent une « protection pratique et effective selon tout standard raisonnable ». Des protections justement jugées insuffisantes par la DSB.
Pour trouver une solution à la difficulté légale dans laquelle se trouvent Google et les autres grandes plates-formes numériques, le géant californien appelle les exécutifs américain et européen à s’entendre « rapidement » sur un texte encadrant les échanges de données entre l’UE et les Etats-Unis. Des discussions sont en cours entre Washington et la Commission européenne, mais un tel accord semble difficile à obtenir. Il supposerait un changement des lois américaines sur le renseignement, ce qui est un défi de taille, d’autant plus avec les très faibles marges de manœuvre politique dont dispose le président Joe Biden au Congrès.
Contribuer
Réutiliser ce contenu
