Le 13 janvier 2022, l'autorite autrichienne de protection des donnees a statue que l'utilisation continue de Google Analytics viole le RGPD. Cette decision historique est le premier resultat des 101 plaintes types deposees par noyb en 2020, a l'initiative de l'avocat specialise en vie privee Max Schrems. Des decisions similaires sont attendues dans l'ensemble de l'UE.

"Nous nous attendons a ce que des decisions similaires tombent progressivement dans la plupart des Etats membres de l'UE. Nous avons depose 101 plaintes dans presque tous les Etats membres, et les autorites ont coordonne la reponse." - Max Schrems, avocat europeen specialise en vie privee et president d'honneur de noyb

Cette decision a des implications bien au-dela de l'analyse web. Elle s'applique aux transferts de donnees UE-US de maniere generale, ce qui signifie que la majorite des sites web traitant actuellement des donnees personnelles europeennes sur une infrastructure cloud americaine violent techniquement le RGPD.

Votre analyse web enfreint-elle la loi ?

Le moyen le plus rapide d'evaluer votre exposition est de repondre a ces questions :

Votre fournisseur d'analyse web est-il une entreprise americaine ?
Votre fournisseur d'analyse utilise-t-il des serveurs web appartenant a un fournisseur cloud americain ? (Remarque : peu importe que les serveurs soient physiquement situes dans l'UE. L'entreprise americaine qui en est proprietaire reste soumise a la FISA 702 et au decret executif 12.333.)

Si la reponse a l'une ou l'autre de ces questions est oui, votre analyse web pourrait etre non conforme.

L'anonymisation des adresses IP resout-elle le probleme ?

Malheureusement, non. L'anonymisation effectuee par Google Analytics se fait cote client dans le navigateur. Meme si l'adresse IP est anonymisee via JavaScript avant l'envoi, l'adresse IP reelle est toujours transmise dans les en-tetes de la requete HTTP. Il est techniquement impossible d'exclure une adresse IP reelle d'une requete HTTP sans utiliser un service proxy ou VPN.

Les bannieres de consentement peuvent-elles resoudre ce probleme ?

Les bannieres de consentement ont ete concues pour les cookies et les mecanismes de suivi similaires. L'arret Schrems II aborde un probleme different : le transfert de donnees personnelles europeennes vers une infrastructure controlee par les Etats-Unis. Meme avec le plein consentement de l'utilisateur, le transfert lui-meme peut etre illicite car les lois americaines de surveillance ne fournissent pas une protection adequate pour les donnees des citoyens europeens.

Certains avancent que le consentement explicite pourrait servir de base juridique, mais les autorites de protection des donnees ont systematiquement considere que le consentement a la surveillance gouvernementale ne constitue pas un consentement valable au sens du RGPD.

Quels sont les risques reels ?

Des plaintes ont ete deposees dans pratiquement tous les Etats membres de l'UE. Les amendes au titre du RGPD peuvent atteindre 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros, le montant le plus eleve etant retenu. Au-dela des amendes, les organisations font face a des dommages reputationnels et a la perturbation operationnelle liee au changement d'outils d'analyse sous la pression reglementaire.

Quelles sont les alternatives ?

Les proprietaires de sites web disposent de plusieurs options :

Passer a un fournisseur d'analyse respectueux de la vie privee qui traite les donnees europeennes exclusivement sur une infrastructure europeenne. Les entreprises basees dans des pays beneficiant de decisions d'adequation au RGPD (comme le Canada) offrent une protection juridique supplementaire.
Auto-heberger l'analyse pour garder un controle total sur le traitement et le stockage des donnees.
Cesser completement la collecte d'analyses, bien que cela soit impraticable pour la plupart des entreprises.

Les exigences techniques cles pour la conformite comprennent :

Aucun transfert de donnees personnelles europeennes (adresses IP, chaines User-Agent) vers des serveurs americains
Un traitement des donnees s'effectuant exclusivement sur une infrastructure europeenne appartenant a des entreprises europeennes
Une anonymisation correcte effectuee cote serveur avant que les donnees ne transitent par des services non europeens

La vision d'ensemble

Cette decision annonce un changement fondamental dans la maniere dont les sites web doivent aborder la collecte de donnees. L'epoque ou l'on installait nonchalamment Google Analytics en supposant etre conforme est revolue. Les proprietaires de sites web doivent desormais evaluer activement si leurs outils d'analyse creent une responsabilite juridique, et beaucoup devront migrer vers des alternatives conformes.

Le cout de l'analyse "gratuite" -- mesure en amendes potentielles, risques juridiques et violations de la vie privee -- n'est plus nul.