Les décisions européennes mettent en péril le produit phare de Google

Les lois laxistes et les accords de faveur sont en train de devenir une chose du passé pour les grandes entreprises technologiques, en particulier en Europe où une série de décisions constitue une menace majeure pour l’un des produits phares de Google.

Plus de la moitié des sites Web dans le monde utilisent Google Analytics pour aider leurs propriétaires à comprendre le comportement des utilisateurs.

Le logiciel, qui déploie des cookies pour suivre le comportement des utilisateurs, ne coûte rien en termes monétaires, bien que l’immense quantité de données contribue à alimenter les énormes bénéfices de Google.

Cependant, en 2020, le cadre supervisant le transfert des données personnelles de l’UE vers les États-Unis a été annulé par les juges de l’UE en raison de préoccupations relatives à l’espionnage par les agences d’espionnage américaines.

Les activistes ont depuis déposé des dizaines de dossiers auprès des régulateurs en Europe, arguant que l’outil viole les droits fondamentaux des ressortissants de l’UE.

Les régulateurs de plusieurs pays ont donné raison aux activistes et déclaré Google Analytics incompatible avec le règlement européen sur la confidentialité des données (GDPR).

Ces décisions laissent de nombreuses entreprises européennes dans l’embarras.

Elles peuvent se débarrasser de Google et opter pour une option conforme aux règles de confidentialité, mais coûteuse, ou attendre et espérer une solution de Google, des régulateurs ou des politiciens.

Vendredi, les États-Unis et l’Union européenne ont annoncé qu’ils s’étaient mis d’accord sur le principe d’un nouveau cadre pour permettre les transferts de données, mais n’ont pas donné plus de détails.

L’avocat autrichien Max Schrems, qui a mené la campagne visant à invalider les accords précédents, a écrit sur Twitter que cela ressemblait à une autre approche « patchwork » sans réforme substantielle des règles d’espionnage américaines.

« Attendons un texte, mais mon premier pari est qu’il échouera à nouveau », a-t-il écrit.

Corrections potentielles

La semaine dernière, Google a déclaré qu’il publierait une nouvelle version de son logiciel qui ne stockerait pas les adresses IP, le code unique qui permet d’identifier les ordinateurs individuels.

L’entreprise américaine a également construit des centres de données en Europe.

Cependant, l’impact de ces correctifs potentiels n’est pas clair. Les régulateurs n’ont pas encore fait de commentaires.

« Les autorités de protection des données n’ont pas la solution », déclare Florence Raynal du régulateur français CNIL, qui a statué contre Google.

« Cette solution doit être apportée par les gouvernements à un niveau politique ».

Les entreprises américaines sont soumises à une loi connue sous le nom de Cloud Act qui permet aux agences de sécurité américaines d’accéder aux données des citoyens étrangers, quel que soit l’endroit où elles sont stockées.

Bien que Google ait fait valoir que le risque posé par le Cloud Act est théorique, il rend néanmoins difficile pour les entreprises américaines de se conformer au GDPR.

A la croisée des chemins

Marie-Laure Denis, directrice de la CNIL, qui est considérée comme un chef de file dont les décisions sont suivies par les autres régulateurs, a résumé le dilemme lors d’une conférence de l’International Association of Privacy Professionals (IAPP) à Paris la semaine dernière.

Elle a déclaré à propos des entreprises américaines que « leur modèle d’entreprise devrait évoluer, ou le cadre juridique américain devrait évoluer ».

Mais elle a admis que la situation des entreprises européennes utilisant Google Analytics était « compliquée ».

Pascal Thisse, qui dirige une agence conseillant les entreprises sur la manière de se conformer au GDPR, affirme que les entreprises se trouvent « à la croisée des chemins », sans idée précise de la voie à suivre.

« Si vous dites à un client qui utilise Google Ads de supprimer Google Analytics, tout s’effondre car c’est la base du système », dit-il.

Mais pour se conformer aux règles européennes, les entreprises devraient prouver que les renseignements américains ne sont pas intéressés par les données collectées – une entreprise bien au-delà des moyens des petites entreprises.

L’avocat Schrems reconnaît également qu’il n’y a pas de solution facile.

« C’est difficile pour nous parce que d’habitude nous essayons de plaider des affaires où il y a une solution et dans ce cas, nous avons un problème politique », a-t-il déclaré lors d’un événement virtuel la semaine dernière avant l’annonce de l’accord entre les États-Unis et l’Union européenne.

Il a déclaré que la loi américaine autorisait la surveillance de masse des citoyens non américains, ce qui allait à l’encontre de la charte des droits fondamentaux de l’UE.

« Soit les États-Unis changent leurs lois, soit l’Union européenne change ses principes fondateurs fondamentaux », a-t-il déclaré.

© 2022 AFP