L’Autorité suédoise pour la protection de la vie privée (IMY) a mis en garde les entreprises contre l’utilisation de Google Analytics en raison des risques de surveillance posés par le gouvernement américain. L’avertissement intervient au milieu des inquiétudes croissantes quant à la légalité du transfert des données des Européens aux États-Unis en vertu de lois telles que le Règlement général sur la protection des données (RGPD).
Le RGPD et les problèmes de transfert de données
Le RGPD exige des protections strictes de la vie privée et un consentement pour le traitement des informations personnelles des individus. Il a été constaté que Google Analytics enfreignait cela en transférant des données de sites Web et d’applications mobiles vers les États-Unis, où les lois sur la confidentialité sont plus faibles et où les agences de renseignement peuvent accéder aux informations. L’arrêt Schrems II de 2020 du plus haut tribunal européen a invalidé le pacte de transfert de données Privacy Shield et a soumis ces transferts à un examen minutieux.
L’enquête IMY met en lumière Google Analytics
L’IMY a enquêté sur quatre sociétés suédoises – CDON, Coop, Dagens Industri et Tele2 – à la suite d’une plainte du groupe de confidentialité NOYB selon laquelle elles utilisaient illégalement Analytics. Les audits IMY ont révélé des violations des exigences de consentement et de transfert de données du RGPD. L’agence a condamné CDON à une amende de 30 000 $ et Tele2 à 1,1 million de dollars et a ordonné à tous sauf à Dagens Industri de cesser d’utiliser Analytics. Les experts disent que les sanctions, bien que minimes, créent un précédent important. Tele2 et CDON envisagent de faire appel, arguant que les amendes sont disproportionnées, mais ont déclaré qu’ils se conformeraient aux ordonnances.
L’UE et les États-Unis luttent pour conclure un nouvel accord de transfert de données
Les décideurs politiques de l’UE et des États-Unis négocient un nouveau pacte de transfert de données pour remplacer le bouclier de confidentialité. Mais les critiques affirment que cela n’empêchera pas les États-Unis d’espionner ou de responsabiliser les Européens devant les tribunaux américains. La décision d’IMY fait suite à un examen similaire des pratiques de données de Meta, qui a récemment attiré une amende de 1,3 milliard de dollars de l’UE. Les régulateurs du monde entier renforcent l’application de lois telles que le RGPD, la loi chinoise sur la protection des informations personnelles et la loi brésilienne sur la protection des données. Alors que certains visent à vérifier le pouvoir des grandes technologies, les règles diffèrent souvent, créant des obstacles pour les entreprises mondiales. Ces décisions affectent ces quatre entreprises et ont des implications pour toutes les organisations qui ne se conforment pas au RGPD. Pour Google et d’autres, des changements peuvent être nécessaires aux modèles d’analyse et d’annonces qui dépendent depuis longtemps du libre déplacement des données personnelles dans le monde entier. Alors que la confidentialité des données se mondialise, cette ère pourrait toucher à sa fin.
La réponse de Google
Dans une déclaration à TechCrunch concernant les décisions d’IMY, Google souligne que Google Analytics n’identifie ni ne suit des individus spécifiques sur le Web. La société affirme que les éditeurs de sites Web sont responsables de la conformité et de l’utilisation éthique des données. Google fait sa part en fournissant des garanties, des contrôles et des ressources. Google déclare : « Les gens veulent que les sites Web qu’ils visitent soient bien conçus, faciles à utiliser et respectueux de leur vie privée. Google Analytics aide les éditeurs à comprendre dans quelle mesure leurs sites et applications fonctionnent pour leurs visiteurs, mais pas en identifiant les individus ni en les suivant sur le Web. Ces organisations, et non Google, contrôlent quelles données sont collectées avec ces outils et comment elles sont utilisées. » Image en vedette : sdx15/Shutterstock