L'autorite danoise de protection des donnees (Datatilsynet) a statue que l'utilisation de Google Analytics viole le RGPD, ajoutant le Danemark a la liste croissante des pays de l'UE ayant pris des mesures d'application contre la populaire plateforme d'analyse.

La decision

L'autorite danoise a determine que Google Analytics transfere des donnees personnelles vers les Etats-Unis sans garanties adequates, en violation des exigences du RGPD pour les transferts internationaux de donnees. Cela fait suite a l'arret Schrems II, qui a invalide le Privacy Shield UE-Etats-Unis et a releve le seuil de conformite pour tout transfert de donnees personnelles europeennes vers des services bases aux Etats-Unis.

Un schema europeen

Le Danemark rejoint l'Autriche, la France, l'Italie, la Hongrie, la Finlande, la Norvege et la Suede dans les decisions contre Google Analytics. Ces decisions decoulent de plaintes deposees par l'organisation de defense de la vie privee noyb, qui a systematiquement conteste l'utilisation d'outils d'analyse bases aux Etats-Unis a travers les Etats membres de l'UE.

Bien que chaque autorite nationale ait statue independamment, les resultats coherents refletent une interpretation juridique partagee : les clauses contractuelles types et les autres garanties proposees par Google sont insuffisantes pour proteger les donnees europeennes d'une surveillance potentielle du gouvernement americain.

Implications pour les organisations

Les entreprises operant au Danemark qui continuent d'utiliser Google Analytics s'exposent a des mesures reglementaires potentielles. La decision exige effectivement des organisations qu'elles passent a des solutions d'analyse qui ne collectent pas de donnees personnelles ou qui stockent les donnees exclusivement au sein de l'UE/EEE. Les alternatives d'analyse respectueuses de la vie privee et hebergees en Europe eliminent completement le probleme de transfert de donnees.