L'actualité récente a suscité des inquiétudes quant à la conformité au RGPD de l'utilisation de Google Analytics dans l'UE, ainsi que d'autres outils de suivi web.
Le problème stockage de données dans le cadre du RGPD
Le problème principal est que Google stocke les données d’utilisateurs européens aux États-Unis, alors que l'UE exige que ces données soient stockées sur son territoire et par des entreprises européennes uniquement. Les données stockées aux États-Unis peuvent être utilisées par le gouvernement américain à tout moment s'il le souhaite, ce qui est en contradiction directe avec certains articles de la loi RGPD.
Actuellement, l'accent est surtout mis sur Google Analytics, l'outil d'analyse web le plus utilisé, mais de nombreux autres outils opérant dans l'UE stockent les données des utilisateurs à l'étranger et ne respectent donc pas la réglementation RGPD.
Les premières répressions juridiques sont en cours
Plus récemment, plusieurs affaires ont indiqué que l'UE commence à sévir dans de tels cas. Par exemple, l'autorité autrichienne de protection des données (DPA) a jugé que l'utilisation de Google Analytics violait le règlement RGPD, et en France, le CNIL (Centre National de l'Informatique et des Libertés) a déclaré Google Analytics illégal, en déposant des plaintes contre de grandes entreprises telles que Decathlon, Sephora, Leroy Merlin et Auchan.
Qu'en est-il du Luxembourg ?
Le Luxembourg dispose également d'un organisme de contrôle chargé de faire respecter la réglementation prévue par le RGPD, le "Centre National pour la Protection des Données" (CNPD). Bien qu'aucune plainte formelle n'ait été émise publiquement à ce jour au Luxembourg, le CNPD a publié des lignes directrices rappelant les règles à respecter en matière de suivi des cookies, que vous pouvez consulter ici.
Le CNPD, aujourd’hui, a déjà émis des sanctions pour des violations locales de la réglementation RGPD, mais à notre connaissance pas encore dans le cadre du web tracking. Nous pensons qu’il n’est qu’une question de temps avant que des sanctions liées au web tracking ne commencent à tomber au Grand Duché.
La liste des sanctions infligées par le CNPD est maintenue ici.
Il y a plusieurs voies possibles à envisager :
- 1) L'UE et les États-Unis prennent en compte le plaidoyer de Google et développent un cadre pour les transferts de données.
- 2) Google décide de stocker toutes les données de l'UE dans l'UE elle-même.
- 3) Les entreprises peuvent changer d'outil pour trouver une alternative à Google Analytics qui soit conforme à la réglementation.
- 4) Passage à Google Analytics 4 (GA4). GA4 permet aujourd’hui aux entreprises de stocker des données dans l'UE, et sa facturation est gérée par Google Irlande. e-connect a développé un service de mise en place de sites web sur GA4 et a commencé à utiliser cette solution sur plusieurs comptes.
Si vous avez des questions spécifiques sur GA4, ou si vous souhaitez que nous vous aidions à le mettre en place, contactez notre équipe.
Sources :
- Fiche pratique de la CNPD - Cookies & Autres Traceurs
- CNPD - Liste des décisions & sanctions
- Google - It’s time for a new EU-US data transfer framework
- Journal du geek - Google Analytics épinglé en Autriche pour non-respect du RGPD
- Les Numériques - Google Analytics viole le RGPD, selon le régulateur autrichien des données
- Journal du Net - Google Analytics déclaré illégal par la Cnil : ce n'est que le début
- Le Monde - L’utilisation de Google Analytics jugée contraire au droit européen sur les données personnelles
23.02.2022