Suite à une plainte de l’ONG Noyb, fondée par Maximilien Schrems, l’Autorité de protection des données autrichienne (DBS) a considéré par une décision en date du 22 décembre 2021 que l’utilisation du service Google Analytics par un éditeur européen constitue une violation du RGPD.  

Une conséquence attendue de Schrems II  

Pour comprendre la position de l’autorité autrichienne, il est nécessaire de rappeler que le 16 juillet 2020, la Cour de Justice de l’Union européenne a adopté la décision dite « Schrems II » qui a considérablement réduit les possibilités de transferts de données personnelles vers les États-Unis.  

La Cour s’était appuyée sur le fait que le Cloud Act, en permettant aux autorités fédérales d’accéder aux données à caractère personnel détenues par les entreprises américaines, entre en contraction avec le niveau de protection exigé par la réglementation européenne.  

En conséquence :  

• Le « Privacy Shield », qui simplifiait les transferts de données entre l’Union européenne et les États-Unis, est invalidé ; 
• L’utilisation de Clauses contractuelles types, dont la force juridique ne peut à elle seule s’opposer au Cloud Act, est insuffisante ; 

• Le transfert de données personnelles vers les États-Unis n’est pas permis dès lors que le dispositif mis en place pour les transferts ne permet pas de faire échec au Cloud Act. 

Un transfert illicite  

Dans sa décision, l’autorité autrichienne relève que dans le cas qui lui est soumis : 

• Les identifiants utilisateurs, les adresses IP et les paramètres des navigateurs avaient été transférés vers les serveurs de Google aux États-Unis ; 
• Le dispositif juridique mis en place par Google et l’entreprise poursuivie ne satisfait pas à la réglementation européenne éclairée par Schrems II ; 
• L’utilisation du service Google Analytics constitue donc un transfert de données vers les États-Unis contraire au RGPD.  

Bien qu’aucune amende n’ait été pour l’heure prononcée à l’encontre de l’entreprise poursuivie, la décision de l’autorité autrichienne renvoie les acteurs européens à leur responsabilité dans le choix de leurs partenaires. Il est à prévoir que cette décision, ne restera pas isolée, dans la mesure où elle s’inscrit dans le cadre des 101 plaintes déposées par Noyb auprès des différentes autorités européennes pour non-respect de la décision Schrems II. 

Pour en savoir plus :  

>>https://gdprhub.eu/index.php?title=DSB_(Austria)_-_2021-0.586.257_(D155.027) 

>>https://noyb.eu/en/austrian-dsb-eu-us-data-transfers-google-analytics-illegal 

Par Clémence Durand | News, Protection des données, Sécurité | Commentaires fermés