L’agence de protection des données italienne vient d’avertir un site contre l’utilisation de Google Analytics, estimant que celle-ci ne respecte pas le Règlement général sur la protection des données (RGPD). De plus en plus de pays européens se soulèvent contre l’outil d’analyse d’audience de la firme de Mountain View.

Google Analytics envoie des données aux États-Unis

Comme l’explique le régulateur italien dans un communiqué de presse, les données exploitées par Google pour fournir les informations dans Google Analytics sont personnelles, elles comprennent notamment l'adresse IP du dispositif de l'utilisateur ainsi que des informations sur le navigateur, le système d'exploitation, la résolution de l'écran, la langue sélectionnée, la date et l'heure de consultation de la page.

Or, ces données sont transférées aux États-Unis, où la législation en matière de protection des données est beaucoup moins stricte qu’au sein de l’Union européenne, ce qui constitue une violation du RGPD selon l’agence : « Un site web qui utilise Google Analytics sans les garanties prévues par le GDPR de l'UE viole la loi sur la protection des données, car il transfère les données des utilisateurs aux États-Unis, pays qui ne dispose pas d'un niveau adéquat de protection des données », écrit-elle.

L’agence a donc ordonné à l’entreprise italienne mise en cause, Caffeina Media, de se mettre en accord avec la législation européenne sous 90 jours. Si elle n’y parvient pas, « la suspension des flux de données liés à Google Analytics vers les États-Unis sera ordonnée ». Les autorités italiennes en ont aussi profité pour mettre en garde toutes les entreprises du pays : « L’agence de protection des données invite tous les responsables du traitement à vérifier que l'utilisation de cookies et d'autres outils de suivi sur leurs sites web est conforme à la législation sur la protection des données ; cela s'applique en particulier à Google Analytics et aux services similaires ».

La France et l’Autriche ont également taclé Google Analytics

Ce n’est pas la première fois qu’un pays européen se positionne contre l’usage de Google Analytics en lien avec le RGPD. En janvier 2022, les autorités autrichiennes ont ainsi mis en cause un éditeur allemand pour les mêmes raisons. Un mois plus tard, la CNIL a mis en demeure Google pour le transfert de données liées à Analytics vers les États-Unis.

Selon les autorités autrichiennes, italiennes et françaises, il est possible que les services de renseignement américains aient accès à ces données ; elles estiment en effet que la firme de Mountain View n’a pas mis en place les mesures adéquates pour protéger ces informations. L’agence italienne de protection des données rappelle par exemple qu’« une adresse IP est une donnée à caractère personnel et qu'elle ne serait pas anonymisée même si elle était tronquée - étant donné les capacités de Google à enrichir ces données grâce aux informations supplémentaires qu'il détient ».

Un homme navigue sur Google Analytics.

Google Analytics transfère de nombreuses données vers les États-Unis. Photographie : Myriam Jessier / Unsplash

« Les gens veulent que les sites Web qu'ils visitent soient bien conçus, faciles à utiliser et respectueux de leur vie privée. Google Analytics aide les éditeurs à comprendre comment leurs sites et leurs applications fonctionnent pour leurs visiteurs, mais pas en identifiant les individus ou en les suivant sur le Web. Ces organisations, et non Google, contrôlent les données collectées par ces outils et la manière dont elles sont utilisées. Google les aide en mettant à leur disposition une série de garanties, de contrôles et de ressources pour la conformité », a déclaré Google auprès de TechCrunch.

Depuis 2020, le transfert de données entre les États-Unis et l’UE n’est plus encadré

Ces différentes décisions font suite à l'arrêt Schrems II du 16 juillet 2020 pris par la Cour de justice de l'Union européenne, qui a annulé le Privacy Shield, un accord établi entre les États-Unis et le Vieux Continent pour le transfert de données. En effet, la justice européenne a jugé que ce dernier ne protégeait pas assez les informations des citoyens européens, notamment au regard des révélations du lanceur d’alerte américain Edward Snowden.

Suite à cette annonce, l'ONG autrichienne Noyb (None of Your Business), fondée par l'activiste Maximilien Schrems, a déposé 101 plaintes contre des entreprises dans plusieurs États membres de l'Union, leur reprochant de transférer de manière illégale des données vers les États-Unis.

Un nouvel accord entre les États-Unis et l’UE est actuellement en préparation, mais les négociations traînent. Comme le rapporte le média TechCrunch, l'écart entre la législation américaine sur la surveillance et la loi européenne sur la protection de la vie privée continue de se creuser à de nombreux égards, il n'est par conséquent pas du tout certain que le remplacement négocié sera suffisamment solide pour survivre à d’inévitables contestations judiciaires.

Dans ce contexte, Google envisage de mettre en place des contrôles supplémentaires afin de fournir à ses clients des garanties concernant la protection des données des utilisateurs.