Google vient de recevoir de terribles nouvelles en Europe – et cela pourrait empirer
Google vient d’être touché par de très mauvaises nouvelles en provenance d’Europe, mais les nouvelles pourraient être encore pires pour les propriétaires de sites Web que pour Google lui-même. Dans une affaire sans précédent, le tribunal autrichien vient de statuer que Google Analytics enfreint les lois européennes sur la protection des données. En conséquence, Google Analytics est devenu illégal en Autriche.
Kaspars Grinvalds/Shutterstock
Tout revient au Règlement Général sur la Protection des Données (RGPD) observé en Europe. Mis en œuvre en 2018, le GDPR a été créé pour donner aux citoyens européens plus de contrôle sur leurs données personnelles, à la fois en ligne et hors ligne. Malheureusement, le RGPD et les lois américaines sur la surveillance ne font tout simplement pas bon ménage.
Selon une décision rendue en 2020 par la Cour de justice de l’Union européenne (CJUE), les politiques qui obligent les fournisseurs de sites Web aux États-Unis à fournir des données personnelles des utilisateurs aux autorités sont contraires au RGPD. Bien que cela puisse ne pas sembler lié à Google Analytics à première vue, cela l’est tout à fait. Certaines des informations facilement collectées par les fournisseurs américains sont en violation directe du RGPD, ce qui signifie en théorie que ces sites Web devraient cesser de collecter des informations privées afin de fonctionner légalement en Europe. En pratique, il semble que peu de choses aient changé depuis 2018.
Google Analytics est désormais totalement illégal en Autriche
Avant 2020, une loi appelée Privacy Shield était en place qui autorisait le transfert de données européennes vers les États-Unis. Cependant, le bouclier a été invalidé par la CJUE le 16 juillet 2020. Depuis lors, les sites Web basés aux États-Unis n’ont pas été autorisés à transférer les données des citoyens européens aux États-Unis. Bien entendu, cela ne s’applique qu’aux données relevant du RGPD, qui ne comprend que des informations identifiables sur une personne donnée. Cependant, selon FieldFisher, cela inclut également les adresses IP, car elles sont considérées comme un « identifiant en ligne ».
Indépendamment de la décision de 2020 rendue par la CJUE, de nombreux fournisseurs ont continué à envoyer des données personnelles aux États-Unis, y compris Google Analytics. Comme l’a déclaré Max Schrems, président honoraire de NOYB, une organisation européenne à but non lucratif axée sur les droits numériques, « Au lieu d’adapter réellement les services pour qu’ils soient conformes au RGPD, les entreprises américaines ont essayé d’ajouter simplement du texte à leurs politiques de confidentialité et d’ignorer la Cour de Justice. De nombreuses entreprises de l’UE ont suivi l’exemple au lieu de passer aux options légales. »
L’autorité autrichienne de protection des données a maintenant donné suite à ce que la CJUE a statué en 2020 et a rendu l’utilisation de Google Analytics totalement illégale. La décision entre en vigueur immédiatement, de sorte que tous les sites Web qui desservent les citoyens autrichiens doivent agir rapidement afin de ne pas être condamnés à une amende pour avoir enfreint les lois locales.
Que va changer la nouvelle décision de justice ?
SB_photos/Shutterstock
De nombreuses entreprises opérant en Europe devront désormais choisir entre continuer à utiliser Google Analytics et passer à un autre outil de trafic de site Web. Le refus de se conformer peut entraîner de lourdes amendes. Cependant, il se peut que les fournisseurs continuent d’ignorer les lois européennes et risquent les amendes : après tout, toutes ces entreprises ne seront pas arrêtées ou signalées. S’il est pris, le prix pourrait être élevé : NOYB a décrit un cas où la Commission irlandaise de protection des données a infligé une amende de 225 millions d’euros à WhatsApp pour violation des lois sur la protection des données.
En fin de compte, les entreprises basées aux États-Unis devront réfléchir à des solutions de contournement pour les lois européennes sur la confidentialité. Le simple fait d’héberger les données des clients en Europe serait utile, même si cela limiterait bien sûr le type de données pouvant être librement collectées et distribuées. Pour le moment, les sites Web qui continuent d’utiliser Google Analytics devront obtenir le consentement de chaque visiteur avant de collecter des données.
Le choix d’interdire Google Analytics en Autriche pourrait être la première étape d’une révolution plus large. D’autres pays de l’Union européenne devraient suivre, alors même si l’Autriche est peut-être la première mauvaise nouvelle pour Google, il y a probablement beaucoup plus à venir.