La Datenschutzbehörde (DSB), l’autorité de protection des données de l’Autriche, a décidé que l’utilisation continue de Google Analytics par une entreprise allemande, dont l’identité est expurgée dans son arrêt, a violé l’article 44, Principe général applicable aux transferts, du Règlement Général sur la Protection des Données (RGPD):
Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis.
Comme les lois de surveillance américaines, dont l’article 702 de la FISA et l’ordre exécutif 12 333, exigent que les entreprises américaines fournissent des détails personnels à leurs autorités, la Cour de justice de l’Union européenne arrêta en juillet 2020 que tout transfert de données vers des fournisseurs américains enfreignait le RGPD.
Elle annula en conséquence le « bouclier de protection », l’accord de transfert conclu avec les États-Unis, comme elle le fit pour l’accord précédent, la « sphère de sécurité » en 2015.
Avec cette décision partielle, la DSB confirme que ni les clauses contractuelles types (SCC), ni les mesures d’ordre technique et organisationnel (TOM) ne suffisent à légaliser des transferts de données personnelles vers les États-Unis.
Google Analytics est le programme de statistiques le plus utilisé dans le monde, y compris par les entreprises de l’Union européenne, qui transmettent donc des données personnelles de leurs utilisateurs à la multinationale américaine.
Pour Max Schrems, président d’honneur de noyb, l’organisation non gouvernemental à l’origine de l’affaire et de 100 autres plaintes types déposées en Europe, la portée de la décision est d’autant plus grande que les régulateurs des données qui travaillent sur ces affaires se sont réunies au sein d’un groupe de travail. Il affirme que :
« L’essentiel est le suivant : Les entreprises ne peuvent plus utiliser les services cloud américains en Europe. Cela fait maintenant 1,5 an que la Cour de justice l’a confirmé une deuxième fois, il est donc plus que temps que la loi soit également appliquée. »
La décision partielle n’accuse Google d’aucun manquement. Toutefois, la DSB va poursuivre son enquête pour déterminer si l’entreprise américaine a violé les articles 5, Principes relatifs au traitement des données à caractère personnel, 28, Sous-traitant, et 29, Traitement effectué sous l’autorité du responsable du traitement ou du sous-traitant, du RGPD.
Afin de se conformer au RGPD, deux alternatives s’esquissent : soit les États-Unis changent leurs lois afin d’offrir une protection minimale pour les étrangers, soit les prestataires américains hébergent les données étrangères en dehors des États-Unis*.
* Cette dernière grâce à Microsoft.