Alors que le service Universal Analytics de Google (Google Analytics 3 « GA3 ») s’arrête ce mois-ci, et que l’autorité suédoise de protection des données a sanctionné des sociétés pour leur utilisation de GA3, la Commission Européenne a adopté, le 10 juillet 2023, une nouvelle décision d’adéquation (déjà contestée) concernant la réglementation relative aux données des États-Unis disponible (en anglais) ici, appelée « EU-US Data Privacy Framework » (le « DPF »).
Dune vous présente ces actualités.
GA3 : la fin annoncée est sans effet sur les décisions de l’autorité de protection des données Suédoise
Depuis le 1er juillet 2023, Google a mis fin à GA3 et a lancé son nouvel outil, Google Analytics 4.
Pour rappel, GA3 est un outil controversé de mesure d’audience d’un site internet, qui a fait l’objet de nombreuses plaintes par l’association NOYB « None of your Business » dans les 27 Etats membres de l’Union Européenne.
Début 2022, la Commission Nationale de l’Informatique et des Libertés (la « CNIL ») s’était prononcée sur GA3 et avait considéré que l’utilisation de GA3 entrainait un transfert de données vers les Etats-Unis illicite (notre décryptage est disponible ici).
Après la CNIL et les autorités de protection italienne et autrichienne notamment, l’autorité suédoise de protection des données a également sanctionné l’utilisation de cet outil.
Cette dernière a contrôlé l’utilisation de GA 3 par quatre sociétés suédoises, qui avaient fondé le transfert de données vers les Etats-Unis sur le fondement des clauses contractuelles types de la Commission Européenne.
Sans surprise, l’autorité suédoise a considéré que les mesures de sécurité supplémentaires mises en place par ces sociétés étaient insuffisantes et ne permettaient pas d’assurer une protection des données collectées, et leur a ainsi ordonné de ne plus utiliser GA3. Elle précise que ces décisions concernent, non seulement les sociétés sanctionnées, mais doivent également interpeller toutes les sociétés utilisant GA3.
A ce stade, seule l’utilisation de GA3 a fait l’objet de contrôles par les autorités de protection des données de l’Union Européenne. Aucune ne s’est encore prononcée concernant Google Analytics 4, successeur de GA3.
Toutefois, par ce qui semblerait être un hasard du calendrier, la Commission Européenne a adopté le DPF (EU-US Data Privacy Framework), permettant ainsi, sous certaines conditions, le transfert de données personnelles vers les Etats-Unis et ce, sans exigences supplémentaires.
Le DPF pourrait alors servir de fondement à l’utilisation de GA4 et au transfert de données vers les Etats-Unis en résultant.
DPF, nouveau cadre de protection des données pour leur transfert vers les Etats-Unis
Le DPF repose sur un système de certification au terme duquel les organisations américaines s’engageront à respecter les « Principes » du DPF. Ces principes sont similaires à ceux du RGPD, tels que les principes de transparence ou encore d’accountability. Les organisations américaines devront notamment mettre en place des politiques de confidentialité et tenir une documentation permettant de démontrer leur conformité au DPF.
Elles devront également adopter des garanties spécifiques pour le traitement de données sensibles ou en cas de transferts ultérieurs des données à un tiers. Ainsi que des voies de recours facilement accessibles pour les personnes concernées (par exemple, avec un point de contact interne ou en se soumettant à la juridiction d’une autorité de protection des données européenne).
Les organisations américaines devront renouveler cette certification tous les ans auprès du Department of Commerce américain, qui aura la charge de réaliser des contrôles de conformité réguliers de ces organisations, et qui pourra étudier les plaintes reçues de tiers.
La liste publique des organisations certifiées, tenue par le Department of Commerce américain, est disponible sur ce site.
Quelles Conséquences du DPF pour les transferts de données vers les Etats-Unis ?
Dès lors qu’une organisation américaine est certifiée, il est possible de fonder les transferts de données vers ces organisations sur le DPF. Les autres outils de transferts du RGPD, plus contraignants, ne seront pas à mettre en place.
En revanche, les autres obligations du RGPD devront être respectées, notamment la mise à jour du registre des traitements ainsi que l’information des personnes concernées du transfert de leurs données vers les Etats-Unis.
Toutefois, si l’organisation américaine n’est pas (ou plus) certifiée, les autres outils de transferts devront être mis en place pour permettre le transfert des données vers les Etats-Unis, telles que les clauses contractuelles types adoptées par la Commission Européenne, ce qui nécessitera de réaliser un Transfer Impact Assessment afin de déterminer les mesures de sécurité complémentaires à mettre en place pour assurer un niveau de protection adéquat aux données.
Cette décision est l’occasion de vérifier que votre liste des destinataires des données, notamment vos éventuels prestataires américains, est à jour. Ainsi que l’outil utilisé pour les transferts de données vers les Etats-Unis afin, éventuellement, de le mettre à jour avec le DPF, et d’actualiser votre documentation RGPD.
La CNIL et la Commission Européenne, ont déjà publié des Q&A, disponibles ici et ici afin d’aider les responsables du traitement et sous-traitants de l’Union Européenne.