La Commission Européenne a annoncé ce lundi avoir adopté une nouvelle décision d’adéquation pour le transfert de données entre l’UE – USA.
Cela arrive à la suite de l’annulation de la première version du Privacy Shield par la Cour de justice de l’Union européenne le 16 juillet 2020.
L’Europe et les États-Unis ont donc convenu d’un nouveau cadre de protection des données. Ce nouvel accord offre, en principe, une plus grande sécurité et plus de possibilités de recours pour les citoyens de l’UE.
Cela pourrait ouvrir la voie à une utilisation légale de Google Analytics 4 (GA4), ainsi que de nombreux autres outils concernés par cette réglementation.
Ce nouvel accord introduit des garanties supplémentaires, notamment en limitant l’accès des agences de renseignement américaines aux données des citoyens de l’UE. De plus, il met en place une nouvelle cour, la Cour de révision de la protection des données (Data Protection Review Court – DPRC), à laquelle les citoyens de l’Union auront accès pour contester les questions de protection des données.
Cependant, cette décision n’est pas encore pérenne et n’assure pas la sécurité de tous les transferts de données entre ces deux entités.
La pérennité de l’accord interroge
En effet, cette nouvelle entente s’inscrit dans une série d’accords entre l’UE et les USA, dont deux précédemment invalidés par la Cour de justice de l’Union européenne (CJUE). La question se pose alors de savoir si ce nouvel accord pourrait rencontrer un destin similaire à ses prédécesseurs ;
La volonté de trouver un accord est bien réelle étant donné les enjeux économiques et politiques. Ursula von der Leyen, présidente de la Commission européenne, a souligné l’importance de cette décision, en déclarant : « Le nouveau cadre de protection des données UE-États-Unis assurera des flux de données sûrs pour les Européens et apportera une certitude juridique aux entreprises des deux côtés de l’Atlantique. »
Cependant d’autres dénoncent que cet accord serait une copie insuffisante du premier « Privacy Shield » comme Noyb.eu, l’organisation dirigée par Max Schrems qui a réussi à faire annuler la première version du Privacy Shield, qui précise dans son article European Commission Gives Eu US Data Transfers Third Round CJEU que “Le nouvel accord transatlantique est une copie du « Privacy Shield » précédent, qui avait déjà été invalidé. Il n’y a pas de base légale pour ce changement de cap, seulement une logique politique.” … “Le problème fondamental de la surveillance en masse opérée par la loi FISA 702 aux États-Unis n’a pas été résolu. Les États-Unis continuent de considérer que seules les personnes américaines méritent des droits constitutionnels, ce qui exclut les non-Américains de ces protections.” L’organisation prévoit une action en justice pour contester cette décision devant la Cour de justice de l’Union européenne. Il estime que cette nouvelle tentative d’accord ne résout pas les problèmes fondamentaux et ne respecte pas les droits des citoyens européens.
Seules certaines organisations sont concernées
La décision n’autorise pas indistinctement tous les transferts de données. Elle ne concerne que les organisations qui sont répertoriées dans le Data Privacy Framework, dont la liste est communiquée par la CNIL
Le Data Privacy Framework est un accord entre les États-Unis et l’Union européenne qui vise à protéger les données personnelles des citoyens européens lorsque celles-ci sont transférées aux USA. Il est fondé sur une série de principes que les organisations américaines doivent s’engager à respecter.
Pour le cas de Google Analytics spécifiquement il faut donc confirmer qu’il sera bien présent parmi les organisations répertoriées dans ce programme.
Notre recommandation : Wait & see
La tendance en France et en Europe ne va clairement pas vers un allègement des standards en matière de protection des données personnelles. Bien que GA4 soit certainement en bonne voie de se conformer aux exigences RGPD, l’échéance est inconnue et il reste à date (12/07/2023) non conforme dans sa configuration “classique”.
Update 27/10/2023 : Google Analytics a bien été inscrit dans la liste des entités autorisés rendant ainsi l’usage de GA4 conforme. (Toujours soumis au consentement utilisateur)
Les deux alternatives les plus intéressantes :
- Opter pour Matomo Analytics : Matomo est recommandé par le CNIL et dispensé du consentement au traçage (accepter les cookie).
- Utiliser Google Analytics 4 par l’intermédiaire d’un serveur proxy : pour éviter tout contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure (donc en l’espèce de Google). Comme recommandé par la CNIL dans son article Google Analytics et transferts de données : comment mettre son outil de mesure d’audience en conformité avec le RGPD ?