[Tribune] Privacy Shield 2.0 : Faut-il croire les Politiques.. ou écouter ses consommateurs ?

L'autorité autrichienne de protection des données a publié le 13 janvier 2022 une décision selon laquelle l'utilisation de Google Analytics viole le règlement général de l'UE sur la protection des données (RGPD). La décision autrichienne a été rapidement suivie d'annonces publiques ou de décisions similaires par les autorités néerlandaises, danoises et françaises de protection des données *.

Des données personnelles, telles que les adresses IP, les données de cookies ou les identifiants sont collectés et transférés aux États-Unis, ce qui est en violation de l'article 44 du RGPD, puisque le gouvernement américain a la capacité d'examiner les données personnelles de citoyens européens en vertu des lois américaines sur la surveillance.

Dans le passé, l'UE et les États-Unis étaient parvenus à résoudre ce problème grâce au « Privacy Shield », un accord invalidé par la Cour de Justice de l'Union Européenne (CJUE) le 16 juillet 2020, et qui génère depuis une grande instabilité juridique pour de nombreuses sociétés de l'adtech, opérant en Europe. A l'occasion d'une visite de Joe Biden à Bruxelles, la présidente de la Commission européenne, Mme Ursula Von der Leyen, a toutefois annoncé le 25 mars dernier qu'un nouvel accord transatlantique pourrait prochainement succéder au « Privacy Shield ».

Si l'annonce d'un « Privacy Shield 2.0 » est positive, il faut surtout comprendre qu'elle est désormais très « politique ». Pourquoi ? Parce qu'en réalité, nous sommes encore loin d'un nouvel accord concret, en raison de divergences profondes entre le règlement général pour la protection des données (RGPD) et les lois américaines de surveillance. Malgré le volontarisme de la commission, le parlement européen et la Cour de justice européenne exigent de véritables garanties juridiques pour protéger les Européens concernées par ces transferts de données.

Pour les organisations qui font des affaires à l'international, il peut sembler périlleux de miser sur un nouveau privacy shield, et au contraire plus prudent d'envisager des solutions de stockage et de traitement de données localisées et traitées là où se trouvent leurs consommateurs. Car au final, ce seront ces derniers qui imposeront à nos entreprises le plus haut niveau d'exigence en matière de confidentialité et de protection des données. Tribune rédigée par Anders Pilgaard Andersen, vice-président principal, avocat général, Adform, avec la contribution de Jakob Bak, vice-président directeur et cofondateur, Adform, et Elena Turtureanu, directrice principale de la conformité, juridique et confidentialité, Adform.

* L'Österreichische Datenschutzbehörde, l'autorité autrichienne de protection des données, a publié le 13 janvier 2022 une décision selon laquelle l'utilisation de Google Analytics viole le règlement général de l'UE sur la protection des données. Le même jour, un communiqué de presse de l'Autoriteit Persoonsgegevens, les autorités néerlandaises de protection des données, a déclaré que les entreprises de l'UE devraient s'abstenir d'utiliser Google Analytics et que "l'utilisation de Google Analytics pourrait bientôt ne plus être autorisée". Une décision ultérieure, publiée le 10 février 2022, par la Commission nationale de l'informatique et des libertés (CNIL), l'Autorité française de protection des données, ordonne au propriétaire d'un site Web de cesser d'utiliser Google Analytics et qualifie l'utilisation d'illégale. L'agence danoise de protection des données a également récemment publié un verdict contre un grand éditeur danois pour avoir utilisé Google Analytics.