(Paris) Washington et Bruxelles ont annoncé vendredi un accord de principe sur un nouveau cadre pour le transfert des données personnelles de l’Union européenne vers les États-Unis, préservant, au moins provisoirement, Google Analytics, leader de la mesure d’audience sur l’internet.
Cet outil phare de Google, que beaucoup d’entreprises préféreraient conserver mais attaqué par les défenseurs de la vie privée, permet aux développeurs et aux professionnels du marketing de suivre le comportement des internautes.
Gratuit, Google Analytics était utilisé en 2021 par plus de la moitié des sites internet et domine largement ses concurrents, selon un rapport du site W3Techs.
Or, depuis le début de l’année, plusieurs autorités européennes de protection des données, ainsi que le comité européen qui les fédère, ont jugé l’utilisation de ce service illicite sur le continent, car il transmet aux États-Unis plusieurs informations permettant d’identifier un internaute.
Une fois encore, le problème a été soulevé par Max Schrems, juriste autrichien engagé dans un long combat contre les transferts de données vers les États-Unis qu’il considère illégaux car ils n’excluent pas la possibilité d’accès à ces données par des services de renseignements américains.
Son ONG NOYB (« None of Your Business » : « ce ne sont pas vos affaires ») a déposé une centaine de plaintes dans plusieurs pays européens visant des utilisateurs de Google Analytics.
En France, où trois plaintes ont été déposées contre les distributeurs Auchan, Decathlon ou Sephora, la Cnil a lancé des mises en demeure en février et donné un mois pour changer d’outil, sans nommer les éditeurs concernés, le régulateur espérant ainsi faire changer les pratiques.
Risque « seulement théorique »
Pour la présidente de l’autorité Marie-Laure Denis, le problème vis-à-vis des traitements de données sensibles par des sous-traitants américains n’a que deux issues : « soit que leur modèle économique évolue, soit que le cadre juridique américain évolue », expliquait-elle mi-mars lors d’une conférence de l’Association internationale des professionnels de la vie privée (IAPP) à Paris.
« Je suis vraiment consciente que c’est compliqué pour les entreprises », avait-elle ajouté, face à un auditoire réticent à débrancher son outil de mesure favori.
La Cnil avait pris les devant en proposant une liste d’alternatives (parfois payantes) plus respectueuses de la vie privée.
Selon Yann Padova, avocat chez Baker McKenzie et référent France de l’IAPP, le risque d’utilisation par les services américains des données d’audience des sites web est « seulement théorique ». « On instrumentalise la protection des données à des fins de protectionnisme », juge-t-il, avec « le risque d’avoir des solutions moins performantes ».
« Si vous dites à un client qui utilise les publicités Google d’enlever Google Analytics, tout s’effondre car c’est le socle du système », appuie Pascal Thisse, qui accompagne les entreprises dans leur mise en conformité avec le Règlement européen sur les données personnelles (RGPD).
Pour continuer à l’utiliser, « il faudrait prouver que le renseignement américain ne s’intéresse pas aux données récoltées. Vous pensez qu’une PME a les moyens de faire ça ? », interroge-t-il.
Entre contraintes techniques et sanctions qui menacent, les entreprises se retrouvent selon lui « au milieu du gué ».
L’annonce vendredi par le président américain Joe Biden et la présidente de la Commission européenne Ursula von der Leyen d’un accord de principe sur un nouveau cadre pour le transfert des données personnelles de l’UE vers les États-Unis a été immédiatement applaudi par Google et la CCIA, qui regroupe les géants du numérique.
L’accord, dont les détails ne sont pas encore connus, a cependant suscité le scepticisme des défenseurs de la vie privée, notamment de Max Schrems : « Ce que nous entendons, c’est une nouvelle approche “rafistolée”, mais aucune réforme substantielle du côté américain. Attendons un texte, mais je parie que ce sera un nouvel échec », a-t-il twitté.
Google avait également annoncé le 16 mars l’accélération du déploiement de la nouvelle version de son logiciel, qui « ne stockera plus les adresses IP », l’adresse technique de l’internaute. A ce jour, aucune autorité n’a donné son avis sur cette mise à jour.