Transfert de données personnelles : Google dans le viseur d’activistes après une décision défavorable en Autriche

Le leader mondial de la publicité en ligne avait légèrement vacillé au début de la pandémie, quand certains annonceurs, comme les voyagistes, avaient remisé leurs campagnes et promotions. [Linda Parton / Shutterstock]

La saga sur les transferts de données entre l’Union européenne et les États-Unis connaît un nouvel épisode, après qu’une autorité autrichienne a récemment mis à l’index le géant du web Google, accusé de violer les règles sur la vie privée.

L’ONG autrichienne NOYB (pour « None of your business »: « ce ne sont pas vos affaires ») est une nouvelle fois à la manoeuvre. C’est elle qui avait arraché en 2020 l’invalidation du mécanisme juridique permettant le transfert des données personnelles de l’UE vers les États-Unis (nommé Privacy Shield) par la Cour de justice de l’UE (CJUE)

Elle avait par la suite déposé de nombreuses plaintes en Europe pour dénoncer les stratégies de contournement mises en place par les grandes entreprises du web.

La semaine dernière, l’organisation a remporté sa première victoire lorsque l’autorité autrichienne de protection des données a acté que l’outil de mesure d’audience Google Analytics, leader dans son domaine et omniprésent sur le net, transférait bien les données des utilisateurs européens aux États-Unis, les exposant de fait aux programmes de surveillance mis en place par le renseignement américain.

Contactée par l’AFP, l’autorité n’avait pas précisé jeudi 20 janvier si cette décision pouvait mener à des sanctions ou comment elle comptait l’appliquer auprès des millions de sites web qui utilisent Google Analytics.

Dans un article de blog publié mercredi 19 janvier, le groupe américain s’est efforcé de minimiser la décision et d’appeler l’UE et les États-Unis à négocier au plus vite un nouveau cadre juridique de transfert des données.

« Conneries d’éléments de langage » (« Bullshit PR » en anglais), a tempêté jeudi 20 janvier sur Twitter Max Schrems, l’activiste à la tête de NOYB, qui accuse Google de faire dévier le sujet de la réforme américaine du renseignement.

Selon lui, ce n’est pas à la justice européenne de s’adapter, mais aux législateurs américains de mieux protéger les consommateurs de Google, Microsoft, Amazon, Apple et Meta (maison mère de Facebook), dès lors que leurs données sont traitées aux États-Unis.

« Sinon, vos clients partiront un jour ou l’autre, de la même manière qu’ils ne font pas confiance aux fournisseurs de cloud russes ou chinois », a-t-il ajouté.

La bataille sur la protection de la vie privée est l’une des nombreuses prises de bec entre les géants américains du numérique et les autorités européennes, qui leur reprochent aussi d’échapper à l’impôt, de perpétuer des pratiques anticoncurrentielles, ou de ne pas lutter assez efficacement contre les discours de haine.

Pas de « règle inflexible »

Les 101 affaires lancées par NOYB dans différents pays concernent soit Google Analytics, soit son homologue Facebook Connect.

Depuis l’invalidation du Privacy Shield en juillet 2020, qui était déjà le deuxième accord sur le sujet, l’UE et les États-Unis n’ont tenu que des réunions sporadiques sans parvenir à trouver un accord pour définir un nouveau cadre permettant d’allier le Règlement européen sur les données personnelles (RGPD) et la règlementation américaine.

Les entreprises américaines qui utilisaient le Privacy Shield, comme Facebook, se sont rabattues sur un autre mécanisme de transfert de données européennes, les « clauses contractuelles type » (SCC), qui offre moins de garanties juridiques.

« Au lieu d’adapter réellement leurs services pour qu’ils soient conformes au RGPD, les entreprises américaines ont simplement essayé d’ajouter un texte à leur politique de confidentialité et d’ignorer la décision de la Cour de justice », a commenté M. Shrems après la décision autrichienne.

Selon l’avocat en chef de Google, Kent Walker, auteur de l’article de blog, des demandes des agences de sécurité américaines concernant les outils de statistiques sont très improbables et, par ailleurs, la décision de la CJUE ne doit pas imposer une « norme inflexible » qui bloquerait la circulation mondiale des données.

Toutefois, « il est temps de trouver un nouveau cadre » pour ces échanges, attendu par les entreprises des deux côtés de l’Atlantique, a-t-il plaidé.

Le porte-parole de la Commission européenne Christian Wigand a déclaré jeudi que les discussions en ce sens s’étaient intensifiées ces derniers mois, mais que les questions étaient « complexes » et que les négociations « prendraient du temps ».

Haine en ligne : nouvelles obligations pour les plateformes de plus de 10 millions de visiteurs uniques par mois

Le gouvernement a publié dimanche (16 janvier) le décret d’application de la loi dite « séparatisme » qui rend désormais effective une nouvelle série d’obligations en matière de lutte contre la haine en ligne de la part des plateformes.

Subscribe to our newsletters

Subscribe