L'organisme autrichien chargé de la protection des données, l'équivalent de la CNIL en France, juge l'utilisation de Google Analytics illégale et contraire au Règlement général sur la protection des données (RGPD). Selon l'Autriche, les entreprises européennes qui utilisent Google Analytics permettent à Google de transférer les données de leurs utilisateurs aux États-Unis, malgré le caractère illégal de ce transfert.

Google Analytics dans le viseur des autorités européennes

Suite à l'arrêt Schrems II du 16 juillet 2020, pris par la Cour de justice de l'Union européenne (CJUE), l'ONG autrichienne Noyb (None of Your Business), fondée par l'activiste Maximilien Schrems, avait déposé 101 plaintes dans plusieurs États membres de l'Union. À l'époque, l'ONG autrichienne reprochait à 101 entités européennes, dont 6 sont françaises, de transférer de manière illégale des données vers les États-Unis. Aujourd'hui, l'Autorité autrichienne de la protection des données (DPA) entre dans la danse et estime que ce comportement constitue effectivement une violation du droit européen.

Dans le viseur de l'autorité autrichienne : Google Analytics. Selon le régulateur, le géant américain aurait partiellement ignoré l'annulation de l'accord « Privacy Shield » par la Cour de justine de l'Union en 2020. Comme toutes les données d'Analytics sont hébergées aux États-Unis, les utilisateurs européens sont également touchés par cette collecte de données. Des centaines d'entreprises européennes utilisent Google Analytics, et transmettent donc toujours leurs données récoltées à Google.

Une première sanction en Autriche

L'autorité autrichienne pointe du doigt un éditeur allemand, dont le siège social se trouvait initialement en Autriche, qui faisait justement l'objet de la plainte de Noyb. Au cours de l'affaire, l'éditeur allemand a demandé à Google de supprimer immédiatement toutes les données collectées avec Google Analytics. L'erreur de configuration liée à la fonction d'anonymisation IP a également été corrigée et Google a confirmé que les données personnelles avaient été supprimées. Pour l'instant, l'autorité autrichienne n'a infligé aucune amende à la suite de cette décision.

Selon Maximilien Schrems, des décisions similaires sont attendues dans d'autres États membres de l'Union européenne. Le Contrôleur européen de la protection des données (CEPD) pourrait même emboîter le pas à l'Autriche. Le fondateur de Noyb précise que « l'essentiel est que les entreprises européennes ne puissent plus utiliser les services cloud américains. Cela fait maintenant un an et demi que la Cour de justice l'a confirmé pour la deuxième fois, il est donc plus que temps que la loi soit appliquée ».

De son côté, Google estime que « les internautes veulent que les sites web qu'ils visitent soient bien conçus, faciles à utiliser et respectueux de leur vie privée. Google Analytics aide les commerçants, les gouvernements, les ONG et de nombreuses autres organisations à comprendre comment leurs sites et leurs applications fonctionnent. Ce sont ces organisations, et non Google, qui contrôlent les données collectées ».