Skip to main content
Relation client & Prospection

Google Analytics constitue une violation du RGPD

Par 22 décembre 2021février 1st, 2025Aucun commentaire

Suite à une plainte de l’ONG Noyb, fondée par Maximilien Schrems, l’Autorité de protection des données autrichienne (DBS) a considéré par une décision en date du 22 décembre 2021 que l’utilisation du service Google Analytics par un éditeur européen constitue une violation du RGPD.  

Une conséquence attendue de Schrems II  

Pour comprendre la position de l’autorité autrichienne, il est nécessaire de rappeler que le 16 juillet 2020, la Cour de Justice de l’Union européenne a adopté la décision dite « Schrems II » qui a considérablement réduit les possibilités de transferts de données personnelles vers les États-Unis.  

La Cour s’était appuyée sur le fait que le Cloud Act, en permettant aux autorités fédérales d’accéder aux données à caractère personnel détenues par les entreprises américaines, entre en contraction avec le niveau de protection exigé par la réglementation européenne.  

En conséquence :  

  • Le « Privacy Shield », qui simplifiait les transferts de données entre l’Union européenne et les États-Unis, est invalidé ; 
  • L’utilisation de Clauses contractuelles types, dont la force juridique ne peut à elle seule s’opposer au Cloud Act, est insuffisante ; 

  • Le transfert de données personnelles vers les États-Unis n’est pas permis dès lors que le dispositif mis en place pour les transferts ne permet pas de faire échec au Cloud Act. 

Un transfert illicite  

Dans sa décision, l’autorité autrichienne relève que dans le cas qui lui est soumis : 

  • Les identifiants utilisateurs, les adresses IP et les paramètres des navigateurs avaient été transférés vers les serveurs de Google aux États-Unis ; 
  • Le dispositif juridique mis en place par Google et l’entreprise poursuivie ne satisfait pas à la réglementation européenne éclairée par Schrems II ; 
  • L’utilisation du service Google Analytics constitue donc un transfert de données vers les États-Unis contraire au RGPD.  

Bien qu’aucune amende n’ait été pour l’heure prononcée à l’encontre de l’entreprise poursuivie, la décision de l’autorité autrichienne renvoie les acteurs européens à leur responsabilité dans le choix de leurs partenaires. Il est à prévoir que cette décision, ne restera pas isolée, dans la mesure où elle s’inscrit dans le cadre des 101 plaintes déposées par Noyb auprès des différentes autorités européennes pour non-respect de la décision Schrems II. 

Pour en savoir plus :  

>>https://gdprhub.eu/index.php?title=DSB_(Austria)_-_2021-0.586.257_(D155.027) 

>>https://noyb.eu/en/austrian-dsb-eu-us-data-transfers-google-analytics-illegal 


Auteur Nicolas Samarcq

Nicolas Samarcq : fondateur du cabinet Lexagone et de la solution DPM (Data Privacy Manager). Précurseur dans le domaine réglementaire de la protection des données, Lexagone est l’un des premiers cabinets de conseil à proposer un logiciel permettant de tenir le registre des activités de traitement pour piloter sa mise en conformité. La force de Lexagone repose sur ses services de DPO externe et ses accompagnements spécifiques pour des projets innovants ou complexes (IA en santé, AIPD pour les dispositifs e-santé, ….). Nicolas est également administrateur de l’AFCDP Association Française des Correspondants à la protection des Données à caractère Personnel.

Plus d'articles de Nicolas Samarcq

Parlons de votre conformité


Informations de contact

Email : contact@lexagone.fr
Téléphone : +33 (0)972 169 310

Lexagone est présent à :

  • Biarritz
  • Bordeaux
  • Grenoble
  • Lille
  • Lyon
  • Marseille
  • Montpellier
  • Paris
  • Nantes
  • Toulon
lexagone logo

Notre cabinet de conseil RGPD propose des prestations de DPO externe orchestrées par des équipes de juristes spécialisés pour une gouvernance RGPD maîtrisée.

Membre de :

afcdp min
logo apssis h100 min
club decision dsi min

Référencé par :

logo caih 400 copie 0 0 1 min
53a58cfd 2d9c 4a08 84ac f80456cd147b
logo csirt blue
logo footer@2x