Par une décision du 22 avril 2022, l’autorité autrichienne de contrôle a de nouveau estimé que le transfert aux USA de données à caractère personnel opéré par la solution Google Analytics est contraire au RGPD.
Après avoir conclu, dans une première décision du 22 décembre 2021, que l’utilisation de l’outil Google Analytics n’était pas conforme au RGPD (voir notre commentaire de la décision ici), l’autorité autrichienne de contrôle a reçu une plainte la conduisant à ouvrir une nouvelle enquête concernant l’outil Google Analytics.
Après avoir (i) rappelé que l’utilisation de Google Analytics engendre un traitement de données à caractère personnel, et (ii) qualifié l’éditeur du site de responsable du traitement et Google de sous-traitant, l’autorité de contrôle a accueilli favorablement la plainte en rappelant sa précédente décision dans laquelle elle concluait que « l’obligation pour les responsables du traitement et les sous-traitants d’assurer un niveau de protection des personnes physiques [peut] être revendiqué comme un droit subjectif devant l’autorité de contrôle compétente ».
Lors de l’enquête, Google s’est défendue en invoquant de nombreux arguments, dont certains sont inédits :
- Google a d’abord invoqué l’existence de mesures supplémentaires, et notamment (i) « la publication d’un rapport de transparence », l’existence « d’une politique de traitement des demandes gouvernementales» ainsi que « l’examen minutieux de toute demande d’accès aux données », mais également (ii) la possibilité de crypter les données.
L’autorité de contrôle a estimé ces mesures inutiles, car n’empêchant pas les autorités américaines d’accéder aux données personnelles. En ce qui concerne, plus précisément, le cryptage, ces mesures ont été considérées comme insuffisantes dès lors que Google « a la possibilité d’accéder aux données en clair ».
- Google a ensuite invoqué l’existence d’une « fonction d’anonymisation de l’adresse IP».
Cet argument n’a pas non plus convaincu l’autorité de contrôle qui a rappelé que « l’adresse IP n’est masquée que dans un deuxième temps, après avoir été reçue par le réseau de collecte de données Analytics », et qu’en tout état de cause, l’adresse IP n’est « qu’une des nombreuses pièces du puzzle de l’empreinte numérique du plaignant ».
- Enfin, Google a invoqué l’argument selon lequel une décision faisant droit à la plainte aurait de « graves conséquences pour l’économie ».
Face à cet argument, l’autorité de contrôle s’est contentée de rappeler qu’elle n’a pas « à prendre en compte des considérations économiques ou politiques » pour rendre ses décisions. L’autorité s’est uniquement basée sur l’aspect juridique, citant l’arrêt Schrems II de la CJUE, et rappelant que la situation juridique aux Etats-Unis n’est pas compatible avec le droit européen relatif à la protection des données.
Compte tenu de ce qui précède, et constatant que le transfert de données hors UE n’est encadré par aucune garantie appropriée, l’autorité de contrôle a estimé que l’outil Google Analytics n’est pas conforme au RGPD, et qu’il ne peut donc être utilisé en toute légalité.
L’autorité de contrôle n’a cependant prononcé aucune sanction, ni à l’encontre de l’éditeur du site, ni à l’encontre de Google :
- En ce qui concerne l’éditeur du site, l’autorité de contrôle a considéré que « la violation de l’article 44 du RGPD [lui] est imputable», mais n’a pas jugé nécessaire de le sanctionner dès lors que l’outil Google Analytics a été retiré avant que la décision n’intervienne.
- Google n’a pas non plus été condamnée dès lors que, comme l’a rappelé l’autorité de contrôle, « les exigences du chapitre V du RGPD doivent être respectées par l’exportateur de données, mais pas par l’importateur de données».
Source : ici
