L’agence de protection des données suédoise vient de sanctionner deux entreprises pour l’utilisation de Google Analytics. Elle estime que l’outil ne respecte pas le Règlement général sur la protection des données (RGPD).
Des données plus protégées par le Privacy Shield
L’organisme a contrôlé la manière dont quatre entreprises, CDON, Coop, Dagens Industri et Tele2, transfèrent des données à caractère personnel aux États-Unis via Google Analytics. Cette initiative résulte d’une plainte déposée par l’ONG None of Your Business (noyb) en 2020, faisant elle-même suite à un arrêt de la Cour de justice de l’Union européenne invalidant le Privacy Shield. Il s’agissait d’un accord de transfert de données entre l’UE et les États-Unis. Sans celui-ci, les données acheminées outre-Atlantique ne sont pas protégées, et risquent de tomber sous le joug d’outils de surveillance américains. Cela constitue une entrave au RGPD.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
L’agence suédoise considère que les informations exploitées par Google Analytics sont personnelles car « elles peuvent être liées à d’autres données uniques transférées ». Dans ce contexte, elle estime que « les mesures de sécurité technique prises par les entreprises ne sont pas suffisantes pour assurer un niveau de protection correspondant pour l’essentiel à celui garanti au sein de l’UE ».
L’autorité a décidé d’infliger une amende d’1 million d’euros au fournisseur suédois de services de télécommunications Tele2. CDON, place de marché locale, écope d’une sanction de 25 000 euros. Les deux groupes n’ont pas mis en œuvre les mesures de sécurité adéquates pour rendre les données anonymes avant leur transfert, estime l’agence.
En outre, CDON, Coop et Dagens Industri ont reçu l’ordre de cesser d’utiliser Google Analytics. Tele2 a, pour sa part, volontairement arrêté de l’exploiter.
Un « guide » pour les autres sites utilisant Google Analytics
L’année dernière, les agences de protection des données française et italienne ont mis en garde contre l’utilisation de l’outil d’analyse de Google. Elles ont en effet constaté qu’un certain nombre d’utilisateurs n’étaient pas en conformité avec les règles de l’Union sur les transferts internationaux de données. En revanche, aucune sanction financière n’avait jusqu’alors été distribuée.
Sandra Arvidsson, conseillère juridique ayant dirigé les audits suédois, assure que la décision de son agence peut servir de « guide » pour les autres organisations utilisant Google Analytics. Pour sa part, la firme de Mountain View assure ne pas mettre la main sur les données exploitées par son outil. « Ce sont ces organisations, et non Google, qui contrôlent les données collectées à l’aide de ces outils et l’utilisation qui en est faite. Google les aide en mettant à leur disposition un ensemble de mesures de protection, de contrôles et de ressources pour assurer la conformité », indique l’entreprise dans un communiqué.
Au mois de mai, des préoccupations similaires ont conduit Meta à se voir infliger une amende record de 1,2 milliard d’euros par les agences de protection des données de l’Union européenne. Il est tout de même important de noter que l’UE et les États-Unis finalisent actuellement un nouvel accord de transfert de données afin de remplacer le Privacy Shield.