La Suède a infligé des amendes à quatre entreprises utilisant Google Analytics après avoir détecté des violations de la vie privée
L'Autorité suédoise pour la protection de la vie privée (« IMY ») a sanctionné les entreprises CDON, Coop, Dagens Industri et Tele2 pour insuffisance des mesures de sauvegarde liées à l'utilisation de Google Analytics. La principale raison de cette décision est qu'il existe un risque que des services gouvernementaux américains puissent accéder à des données à caractère personnel par l'intermédiaire de Google Analytics.
Contexte
Les données à caractère personnel peuvent être transférées de l'UE vers un pays tiers tel que les États-Unis (ou d'autres pays en dehors de l'UE et de l'EEE) sur la base de clauses contractuelles types que la Commission européenne a établies pour garantir que les données de l'UE sont transférées en toute sécurité. Dans certains cas, il peut s'avérer nécessaire de compléter les clauses contractuelles types par des garanties supplémentaires pour renforcer la protection des données à caractère personnel.
L'arrêt Schrems II a conclu que les États-Unis ne disposaient pas d'un niveau adéquat en matière de protection des données. Par la suite, le Comité européen de protection des données a décidé que la protection des données dans le cadre du transfert de données entre les États-Unis et l'Union européenne devait être examinée au cas par cas afin de déterminer si les mesures de protection de la vie privée adéquates étaient en place. Lorsque les données d'un utilisateur de l'UE sont transférées aux États-Unis, elles peuvent perdre les protections prévues par les dispositions du RGPD.
Dans cette affaire, les données ont été transférées aux États-Unis par l'intermédiaire de Google Analytics, qui évalue les informations sur les utilisateurs. L'Autorité suédoise pour la protection de la vie privée a constaté que quatre entreprises ne disposaient pas de mesures de sécurité technique appropriées répondant au niveau de protection adéquat garanti au sein de l'Union européenne.
Lors de l'audit réalisé par l'IMY, les données de Google Analytics ont été considérées comme des données à caractère personnel dans la mesure où elles pouvaient être reliées à d'autres données uniques et personnelles. À ce titre, l'IMY a infligé des amendes à ces entreprises. Tele 2 a été condamnée à une amende de 12 millions de SEK et CDON à une amende de 300 000 SEK.
Principaux conseils à l'intention des entreprises
Ce n'est pas la seule fois où l'utilisation de Google Analytics a été considérée comme présentant un risque pour les données des utilisateurs du fait de l'absence de garanties adéquates pour les transferts de données. L'Autorité italienne de protection des données a interdit l'utilisation de Google Analytics en juin 2022 dans le cadre d'une autre affaire.
Dans cette situation, Caffeina Media S.r.l. a utilisé Google Analytics pour collecter des données par le biais de cookies et d'autres interactions avec l'utilisateur, y compris les adresses IP de l'appareil de l'utilisateur. L'autorité de contrôle italienne a déclaré que les adresses IP étaient considérées comme des données à caractère personnel. En tant que telles, les données des utilisateurs transférées aux États-Unis étaient en violation du Chapitre V du RGPD et Caffeina Media S.r.l. devait mettre son traitement en conformité avec un niveau de protection adéquat.
Les entreprises doivent examiner attentivement les clauses contractuelles types qui leur sont applicables et se dégager de toute responsabilité en mettant en œuvre les garanties appropriées en matière de données, telles que celles décrites dans le RGPD. Elles doivent évaluer les risques liés aux transferts de données et procéder à des évaluations de l'impact des transferts pour s'assurer qu'elles sont conformes aux recommandations du Comité européen de protection des données (« EDPB ») et veiller à ce que les politiques de l'entreprise s'y conforment également. Si les entreprises ne sont pas sûres de respecter les normes requises, elles doivent demander un avis juridique.
Comment Gerrish Legal peut vous aider ?
Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.
Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.
Nous sommes là vous vous aider, contactez-nous dès aujourd’hui pour plus d’informations.
Article de Nathalie Pouderoux, Paralegal / Consultante, pour Gerrish Legal