Skip to main content
5 Juil, 2023

Google Analytics enfreint le RGPD, selon un organisme de surveillance suédois

Google Analytics enfreint le RGPD, selon un organisme de surveillance suédois

, , , , , , , , , ,

Google Analytics fait l’objet d’un examen minutieux en raison de problèmes liés au GDPR. L’autorité suédoise de protection des données met en garde les entreprises contre son utilisation.

Mise en avant

  • Les régulateurs suédois ont infligé des amendes aux entreprises qui utilisent Google Analytics.
  • Les régulateurs affirment que Google Analytics viole le GDPR en transférant des données aux États-Unis sans consentement.
  • Google a publié une réponse pour défendre son outil Analytics.

L’autorité suédoise de protection de la vie privée (IMY : Integritetsskyddsmyndigheten) a mis en garde les entreprises contre l’utilisation de Google Analytics en raison des risques de surveillance posés par le gouvernement américain.

Cette mise en garde intervient dans un contexte d’inquiétude croissante quant à la légalité du transfert des données des Européens vers les États-Unis en vertu de lois telles que le règlement général sur la protection des données (RGPD).

Le RGPD et les inquiétudes liées au transfert de données

Le RGPD exige une protection stricte de la vie privée et le consentement des personnes pour le traitement de leurs données personnelles.

Il a été constaté que Google Analytics enfreignait cette règle en transférant des données de sites web et d’applications mobiles vers les États-Unis, où les lois sur la protection de la vie privée sont moins strictes et où les agences de renseignement peuvent accéder à ces informations.

L’arrêt Schrems II rendu en 2020 par la plus haute juridiction européenne a invalidé le pacte de transfert de données du Privacy Shield et a placé ces transferts sous surveillance.

L’enquête de l’IMY met en lumière Google Analytics

L’IMY a enquêté sur quatre entreprises suédoises – CDON, Coop, Dagens Industri et Tele2 – à la suite d’une plainte déposée par le groupe de défense de la vie privée NOYB, selon laquelle elles utilisaient illégalement Google Analytics.

Les audits de l’IMY ont révélé des violations des exigences du RGPD en matière de consentement et de transfert de données. L’agence a infligé une amende de 30 000 dollars à CDON et de 1,1 million de dollars à Tele2, et a ordonné à toutes les entreprises, à l’exception de Dagens Industri, de cesser d’utiliser Analytics.

Les experts estiment que ces sanctions, bien que modestes, constituent un précédent important.

Tele2 et CDON prévoient de faire appel, arguant que les amendes sont disproportionnées, mais ils ont déclaré qu’ils se conformeraient aux ordonnances.

L’UE et les États-Unis peinent à conclure un nouvel accord sur le transfert de données

L’Union européenne et les décideurs politiques américains négocient un nouveau pacte sur le transfert de données pour remplacer le Privacy Shield. Mais les critiques affirment qu’il n’empêchera pas l’espionnage américain et qu’il ne donnera pas aux Européens les moyens de se défendre devant les tribunaux américains.

La décision d’IMY fait suite à un examen similaire des pratiques de Meta en matière de données, qui s’est récemment vu infliger une amende de 1,3 milliard de dollars par l’Union européenne.

Dans le monde entier, les autorités de régulation intensifient l’application de lois telles que le GDPR, la loi chinoise sur la protection des informations personnelles et la loi brésilienne sur la protection des données. Si certaines visent à limiter le pouvoir des grandes entreprises technologiques, les règles diffèrent souvent, ce qui crée des obstacles pour les entreprises internationales.

Ces décisions concernent ces quatre entreprises et ont des implications pour toutes les organisations qui ne se conforment pas au RGPD.

Pour Google et d’autres, il pourrait être nécessaire de modifier les modèles d’analyse et de publicité qui dépendent depuis longtemps de la libre circulation des données personnelles dans le monde entier.

Avec la mondialisation de la confidentialité des données, cette ère pourrait toucher à sa fin.

La réponse de Google

Dans une déclaration à TechCrunch concernant les décisions d’IMY, Google souligne que Google Analytics ne permet pas d’identifier ou de suivre des individus spécifiques sur le web.

L’entreprise précise que les éditeurs de sites web sont responsables de la conformité et de l’utilisation éthique des données. Google joue son rôle en fournissant des garanties, des contrôles et des ressources.

Google déclare :

« Les gens veulent que les sites qu’ils visitent soient bien conçus, faciles à utiliser et respectueux de leur vie privée. Google Analytics aide les éditeurs à comprendre comment leurs sites et applications fonctionnent pour leurs visiteurs, mais pas en identifiant les individus ou en les suivant sur le web. Ce sont ces organisations, et non Google, qui contrôlent les données collectées à l’aide de ces outils et l’usage qui en est fait ».

https://www.searchenginejournal.com/google-analytics-violates-gdpr-says-swedish-watchdog/490785/

https://www.imy.se/en/news/four-companies-must-stop-using-google-analytics/

https://iapp.org/news/a/the-schrems-ii-decision-eu-us-data-transfers-in-question/

https://www.washingtonpost.com/technology/2023/05/22/meta-fined-eu-facebook-data-privacy/

https://www.imy.se/en/news/four-companies-must-stop-using-google-analytics/