L’Autorité suédoise pour la protection de la vie privée (Integritetsskyddsmyndigheten – IMY) a infligé une amende de 12,3 millions de SEK (1 million d’euros/1,1 million de dollars) à deux entreprises pour avoir utilisé Google Analytics et a mis en garde deux autres contre la même pratique.
Dans une décision publiée hier, l’agence explique qu’en utilisant Google Analytics pour générer des statistiques Web, les entreprises enfreignaient le règlement général sur la protection des données (RGPD) de l’Union européenne.
Plus précisément, les entreprises ont enfreint l’article 46, paragraphe 1, du RGPD, qui interdit le transfert de données personnelles vers des pays ou des organisations internationales qui manquent de garanties garantissant la sécurité et des mécanismes de recours légaux.
Les États-Unis ont été considérés comme un lieu à risque pour le stockage des données des utilisateurs européens, conformément à l’arrêt « Schrems II » de juillet 2020, dans lequel la Cour de justice de l’Union européenne (CJUE) a statué que toutes les données sont transférées aux États-Unis. dans le cadre du mécanisme alors existant, « Privacy Shield », étaient illégaux.
Cette violation est la même pour laquelle la Commission irlandaise de protection des données (DPC) a infligé une amende de 1,3 milliard de dollars à Meta pour avoir transféré des données d’utilisateurs basées dans l’UE vers des serveurs aux États-Unis.
IMY, suite au dépôt d’une plainte pertinente par l’organisation autrichienne des droits numériques None of Your Business (NOYB), a effectué des audits pour déterminer le type de données que l’outil Google Analytics envoie aux États-Unis et a conclu qu’il s’agissait d’informations personnelles.
Les audits concernaient une version de l’outil Google Analytics du 14 août 2020.
« IMY considère que les données transférées aux États-Unis via l’outil de statistiques de Google sont des données personnelles car les données peuvent être liées à d’autres données uniques qui sont transférées », déclare.
« L’autorité conclut également que les mesures techniques de sécurité que les entreprises ont prises ne sont pas suffisantes pour assurer un niveau de protection qui correspond essentiellement à celui garanti au sein de l’UE/EEE » – IMY
Les quatre entreprises qui ont été réprimandées sont :
- Tele2 SA (tele2.se) – Amende administrative de 12 000 000 SEK
- CDON AB (cdon.fi) – Appel à la conformité GDPR et une amende administrative de 300 000 SEK
- Coop SA (coop.se) – Appel à la conformité RGPD
- Dagens Industri (di.se) – Appel à la conformité GDPR
Tele2 SA – un fournisseur de services Internet et de télécommunications en Suède, a récemment décidé de sa propre initiative de ne plus utiliser Google Analytics.
Les trois autres organisations sont sommées de cesser d’utiliser Google Analytics et de mettre en place des mesures adéquates de protection des données au plus tard un mois après la décision de l’IMY, qui a été annoncée le 30 juin 2023.
L’utilisation de Google Analytics a de nouveau été jugée non conforme au RGPD par les autorités de protection des données en Autriche, en France et en Italie.
Cependant, la décision de l’IMY d’imposer des sanctions financières aux contrevenants en fait la première du genre.
Ces décisions servent également de guide pour l’ensemble du secteur, et d’autres entreprises utilisant Google Analytics peuvent décider d’ajuster leur stratégie pour se conformer aux règles et réglementations de l’UE.