L’autorité autrichienne de protection des données estime, dans un arrêt, que la version actuelle de Google Analytics contrevient clairement au RGPD. Son homologue néerlandaise a réagi en affirmant que le service de Google pourrait être interdit dans l’Union Européenne.
Malgré l’arrêt Schrems II, qui a invalidé le Privacy Shield et interdit dans les faits le transferts de données de l’Union Européenne vers les Etats-Unis, Google Analytics, l’outil d’analyse de trafic sur les pages web de Google, continue de transmettre des données d’Européens outre-Atlantique.
Pour l’autorité de protection des données des Pays-Bas, « l’utilisation de Google Analytics pourrait bientôt ne plus être autorisée »
Pour cette raison, l’autorité autrichienne de la protection des données (la Datenschutzbehörde) a rendu, ce 13 janvier 2022, un arrêté indiquant que Google Analytics violait le Règlement général sur la protection des données (RGPD).
Dans la foulée de cette décision, prise sur demande de l’association de défense de la vie privée Noyb, l’autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens) a modifié sa page consacrée à Google Analytics. Elle y indique désormais que « l’utilisation de Google Analytics pourrait bientôt ne plus être autorisée ».
Quelle solution pour Google Analytics ?
Ces divers manquements devraient prochainement être étudiés au niveau européen, ce qui pourrait mettre Google Analytics hors-la-loi. Pour éviter cela, Google n’aurait d’autre choix, à son niveau, que de modifier les paramètres de son outil d’analyse du trafic, notamment en anonymisant toutes les données collectées, pour se contenter d’indiquer quelles pages sont les plus performantes.
Mais ce serait renoncer à son modèle économique basé sur la revente des données personnelles à des fins de publicité ciblée. L’autre option serait de créer des solutions de traitement des données hybrides, distribuant des solutions américaines sous licence européenne, et respectant donc le RGPD en imposant une localisation des données sur le sol européen, sans possibilité de rapatriement aux Etats-Unis. Plusieurs solutions de ce type sont en cours de déploiement, mais aucune n’est opérationnelle.
La dernière option, la plus optimiste, serait que les Etats-Unis adoptent eux-mêmes une sorte de RGPD, garantissant une protection des données et de la vie privée sur leur sol. Mais, malgré les changement impulsé par l’arrivée de Joe Biden à la présidence, notamment sur la neutralité du net, peu de chance qu’une telle législation entre en vigueur à court terme…