(AFP) – Deux entreprises ont écopé d’une amende d’un peu plus d’un million d’euros pour avoir utilisé l’outil Google Analytics, qui mesure et analyse le trafic des sites web, car il permet la transmission de données personnelles vers les Etats-Unis, a déclaré lundi l’autorité suédoise de la protection des données (Integritetsskyddsmyndigheten, IMY).
L’autorité a examiné quatre entreprises suédoises à la suite de plaintes déposées par le cabinet Noyb, spécialiste des questions liées à la protection des données personnelles : Tele2, CDON, Coop et Dagens Industri. Selon Noyb, ces entreprises transfèrent des données personnelles de l’Espace économique européen vers les Etats-Unis, en violation du RGPD, en utilisant Google analytics. Les données personnelles peuvent être transférées vers un pays tiers seulement si la Commission européenne a estimé que le-dit pays dispose « d’un niveau de protection équivalent à celui en vigueur au sein de l’Union européenne« , a expliqué IMY.
Or ce n’était pas le cas des Etats-Unis au moment où la Cour de justice de l’Union européenne a rendu la décision Schrems II – jurisprudence citée dès qu’est posée la question du transfert des données entre UE et USA. En juillet 2020, la Cour avait estimé que le « Privacy Shield », utilisé par 5 000 entreprises américaines, dont des géants comme Google ou Amazon, ne protégeait pas de possibles « ingérences dans les droits fondamentaux des personnes dont les données étaient transférées« . L’affaire avait été lancée par une plainte contre Facebook de l’activiste Max Schrems, déjà à l’origine de l’arrêt de 2015 sur l’ancêtre du « Privacy Shield », « Safe Harbor ».
Les 4 entreprises examinées doivent arrêter d’utiliser Google analytics
Selon IMY, les quatre entreprises examinées doivent arrêter d’utiliser Google analytics. Tele2 a écopé d’une amende de 12 millions de couronnes suédoises (1 million d’euros) et CDON de 300 000. La décision a été saluée par Noyb. « Il s’agit de la première sanction financière imposée à des entreprises pour l’utilisation de Google Analytics« , a souligné dans un communiqué le cabinet.
Fin mai, la Commission européenne a indiqué espérer une adoption « d’ici l’été » d’un nouveau cadre légal pour le transfert des données personnelles de l’UE vers les Etats-Unis.
En vigueur depuis cinq ans dans l’Union européenne, le règlement général sur la protection des données (RGPD) s’est progressivement installée dans la législation de chaque pays. Le texte, applicable par les autorités nationales des Etats membres depuis mai 2018, permet des sanctions allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une entreprise.
