C'est du moins ce que juge l'Autorité autrichienne de protection des données dans une décision rendue le 13 janvier 2022, estimant qu'en transférant des données personnelles vers les USA, l'outil viole l'arrêt Schrems II qui a invalidé le Privacy Shield. Son homologue néerlandais alerte sur la possibilité que cet outil ne soit plus autorisé eu Europe.
Alors que la France entame sa présidence du conseil de l'Europe, c'est l'Autriche par le biais de son autorité de protection des données, la Datenschutzbehörde, qui frappe un grand coup en ce début d'année. Elle juge ainsi que l'outil Google Analytics utilisé aujourd'hui par des millions d'entreprises et de sites web, viole le RGPD au vu des articles 5, 28 et 29.
En avril 2021, Google expliquait que des "mesures techniques et organisationnelles" avaient été prises pour protéger les données personnelles des Européens. Et de promettre par exemple d'évaluer chaque demande gouvernementale d'accès aux données par une équipe spécialisée, de notifier la demander à l'utilisateur concerné…
L'autorité autrichienne a rejeté ces mesures comme étant absolument inutiles quand il s'agit de la surveillance américaine (page 38 et 39 de la décision) et doute que ces mesures soient suffisantes pour empêcher les autorités américaines d'accéder aux données personnelles des Européens.
Vers la fin de Google Analytics en Europe?
La décision de l'autorité de protection des donnée autrichienne commence déjà à faire des émules. Son homologue néerlandais AP (Autoriteit Persoonsgegevens) a placé un nouvel avertissement sur la page concernant le fonctionnement de Google Analytics. "L'utilisation de Google Analytics pourrait bientôt ne plus être autorisée". L'AP mène aussi sa propre enquête sur l'utilisation de Google Analytics. Ses conclusions devraient être publiées en ce début d'année et permettront de savoir si l'outil est conforme ou non au RGPD.
Les options possibles.
Adaptation par les USA d'un règlement sur la protection des données des personnes étrangères afin de soutenir leur industrie technologique. C'est peu probable à un niveau global, peut -être par état, comme pour la Californie par exemple.
Hébergement par les fournisseurs US des données des utilisateurs non américains, en dehors des US. La géolocalisation des données ne permet pas de résoudre le problème lié au Cloud Act. Seule la nationalité des entreprises d'hébergement compte et donc l'immunité aux lois extra communautaires. (Voir également la modification de la certification SecNumCloud)
Modification des paramètres de confidentialité au sein de Google Analytics. L'option la plus simple à mettre en œuvre, mais pas la plus aisée pour les utilisateurs, quant on voit la difficulté à vérifier régulièrement les paramètres de confidentialité au sein des outils de recherche Google et outils connexes.
Utiliser des solutions statistiques alternatives à Google Analytics. C'est un bon départ, d'autant qu'il existe une pléthore d'outils conformes au RGPD, comme Matomo (open source) ou Statcounter (Irlandais).