L’Autorité autrichienne de la protection des données a sanctionné une entreprise allemande suite à une plainte déposée par l’ONG Noyb. En cause, l’utilisation du service Google Analytics qui violerait le RGPD puisqu’il permet le transfert des données vers les Etats-Unis.

En 2020, l’ONG autrichienne Noyb (None of your business), fondée par l’activiste Maximilien Schrems, avait déposé 101 plaintes dans différents États membres de l’Union. L’ONG reprochait à ces 101 entités de transférer des données illégalement vers les Etats-Unis. En effet, le 16 juillet 2020 la Cour de justice européenne avait invalidé le Privacy Shield encadrant le transfert de données entre l’Union Européenne et les Etats-Unis. Depuis cette décision, il n’est plus possible de transférer des données vers les Etats-Unis que dans certains cas. Hors, l’ONG estime que bien souvent le transfert de données a été poursuivi alors qu’il était devenu illégal.

Suite à l’une de ces plaintes, l’Autorité autrichienne de la protection des données (ou DPA), l’équivalent du CNIL français, a condamné un éditeur allemand, dont le siège social se trouvait initialement en Autriche. En cause, l’usage du service Google Analytics dont les données sont hébergées aux Etats-Unis. Au cours de cette affaire, l’éditeur allemand a demandé à Google de supprimer toutes les données collectées avec Analytics, ce que le géant a fait. Une erreur de configuration liée à la fonction d’anonymisation IP a également été corrigée. Bien qu’il ait été sanctionné, l’éditeur ne se voit pour l’heure infliger aucune amende.

Maximilien Schrems s’attend à ce que des décisions similaires soient rendues dans d’autres Etats membres de l’Union Européenne. Le Contrôleur européen de la protection des données pourrait rendre son propre jugement. L’activiste a déclaré : « l’essentiel est que les entreprises européennes ne puissent plus utiliser les services clouds américains. Cela fait maintenant un an et demi que la Cour de justice l’a confirmé pour la deuxième fois, il est donc plus que temps que la loi soit appliquée ». Google a également commenté : « les internautes veulent que les sites web qu’ils visitent soient bien conçus, faciles à utiliser et respectueux de leur vie privée. Google Analytics aide les commerçants, les gouvernements, les ONG et de nombreuses autres organisations à comprendre comment leurs sites et leurs applications fonctionnent. Ce sont ces organisations, et non Google qui contrôlent les données collectées ».

Actuellement, des centaines d’entreprises européennes utilisent toujours le service Google Analytics et transfèrent donc leurs données récoltées à Google. Dans le cas où une décision européenne est rendue cela pourrait lourdement impacter l’écosystème européen du numérique. L’autre solution possible n’est autre qu’un nouveau texte américain de protection des données équivalents au RGPD. Le gouvernement américain ne semble toutefois pas décider à agir sur le sujet.