Dernières nouvelles : Le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) a statué que tous les services Cloud hébergés aux États-Unis sont incapables de se conformer au RGPD et aux lois de l’UE sur la protection de la vie privée.
En août 2016, le bouclier de protection des données UE-États-Unis est entré en vigueur, qui « protège les droits fondamentaux de toute personne dans l’UE dont les données à caractère personnel sont transférées aux États-Unis à des fins commerciales. Il permet le libre transfert de données vers des entreprises certifiées aux États-Unis dans le cadre du bouclier de protection de la vie privée ». – Site Web de la Commission européenne
Toutefois, à la suite de l’arrêt rendu aujourd’hui par la CJUE, ce cadre du bouclier de protection de la vie privée a été invalidé en raison des différences significatives entre les lois européennes et américaines en matière de protection de la vie privée.
Max Schrems, militant européen de la protection de la vie privée, résume la situation en ces termes : « La Cour a clarifié pour la deuxième fois qu’il existe un conflit entre le droit européen de la protection de la vie privée et le droit américain de la surveillance. Comme l’UE ne modifiera pas ses droits fondamentaux pour plaire à la NSA, le seul moyen de surmonter ce conflit est que les États-Unis introduisent des droits solides en matière de protection de la vie privée pour toutes les personnes, y compris les étrangers. La réforme de la surveillance devient ainsi cruciale pour les intérêts commerciaux de la Silicon Valley ». – Site Web noyb
La décision d’aujourd’hui continue également à susciter des inquiétudes quant à la légitimité des lois américaines sur la protection de la vie privée, qui ne protègent pas totalement les données personnelles des personnes lorsqu’elles sont hébergées sur des serveurs Cloud basés aux États-Unis.
En quoi cela vous concerne-t-il ?
Toute entreprise qui exploite un site Web dans l’UE ou dont le trafic provient de visiteurs de l’UE doit savoir quelles sont les données qu’elle recueille et où elles sont stockées.
Voici ce que dit Maja Smoltczyk (commissaire berlinoise à la protection des données et à la liberté d’information) :
Les responsables du traitement qui transfèrent des données à caractère personnel aux États-Unis, en particulier lorsqu'ils utilisent des services basés sur l'informatique en nuage, sont désormaistenus de passer immédiatement à des fournisseurs de services basés dans l'Union européenne ou dans un pays qui peut garantir un niveau adéquat de protection des données. La CJUE a montré avec une clarté rafraîchissante que les exportations de données ne sont pas seulement des décisions financières, car les droits fondamentaux des personnes doivent également être pris en compte en priorité. Cette décision mettra fin au transfert de données personnelles vers les États-Unis pour des raisons de commodité ou de réduction des coûts.
C’est vous (et non Google) qui êtes le responsable du traitement. En transférant des données vers les États-Unis, vous risquez de vous voir infliger une amende pouvant atteindre 20 millions d’euros ou 4 % de votre chiffre d’affaires annuel mondial si vous n’êtes pas en conformité avec le RGPD.
C’est vous qui devez agir, pas Google ou d’autres entreprises américaine. La décision du tribunal a un effet immédiat. Même si nous supposons qu’il y aura un délai de grâce, les entreprises devraient agir dès maintenant, car la recherche et la mise en œuvre de solutions alternatives peuvent prendre un certain temps.
Les données ne peuvent-elles plus être exportées en dehors de l'UE ?
Les données peuvent encore être exportées en dehors de l’UE si un niveau adéquat de protection des données est garanti. C’est le cas de certains partenaires commerciaux de l’UE tels que la Nouvelle-Zélande, le Japon, la Suisse et le Canada. Ces pays ont été certifiés par l’UE comme ayant un niveau comparable de protection de la vie privée et démontrent donc leur adéquation au niveau national.
Les données nécessaires peuvent également circuler vers des pays comme les États-Unis. C’est par exemple le cas lorsqu’une personne réserve un hôtel aux États-Unis ou lorsqu’elle envoie un e-mail à une personne aux États-Unis. Les sauvegardes pour la reprise après sinistre et la plupart des autres raisons ne sont pas considérées comme nécessaires.
Dans tous les autres cas, vous pouvez toujours envoyer des données dans des pays comme les États-Unis si vous obtenez le consentement explicite et informé de l’utilisateur. Cela signifie que l’utilisateur a été informé de tous les risques possibles liés à l’envoi de données aux États-Unis et des personnes qui peuvent y avoir accès (par exemple le gouvernement américain).
Conséquences pour les utilisateurs de Google Analytics et de Google Tag Manager
Si votre site Web utilise Google Analytics,le plus sûr est de le désactiver immédiatement. Dans le cas contraire, vous devez demander le consentement de toutes les personnes qui visitent votre site web et les informer que les données seront traitées aux États-Unis dans le cadre de lois moins strictes en matière de protection de la vie privée, avec tous les risques que cela comporte. Si vous ne le faites pas, vous risquez d’être tenu responsable des infractions à la législation sur la protection de la vie privée et d’être condamné à une amende pour non-respect du RGPD. Cela s’applique également à Google Tag Manager, qui transfère l’adresse IP aux États-Unis, considérée comme une donnée personnelle au sens du RGPD.
Le consentement doit être :
- Librement donné (l’utilisateur doit avoir le choix de ne pas donner son consentement et doit pouvoir s’y opposer à tout moment)
- Informé (vous devez indiquer qui traite les données, quelles données sont traitées, où les données seront stockées et comment refuser le suivi)
- Spécifique (le consentement n’est valable que pour la finalité spécifique indiquée)
- Sans ambiguïté (les cases pré-cochées, par exemple, ne sont pas autorisées)
Si les utilisateurs ne donnent pas leur consentement, vous n’êtes pas autorisé à les suivre à l’aide de Google Analytics ou de toute autre solution en nuage basée aux États-Unis .
Mise à jour du 19 août 2020
Un mois après cette décision, plus de 100 plaintes ont été déposées contre des sites web pour avoir continué à envoyer des données aux États-Unis via Google Analytics ou Facebook, par le groupe de campagne européen noyb pour la protection de la vie privée. Il est clair que Google et Facebook tombent sous le coup des lois de surveillance américaines telles que la FISA 702 et la Cour a clairement statué que ces sociétés ne peuvent pas s’appuyer sur les CCT pour transférer des données aux États-Unis. Quiconque utilise encore Google Analytics risque désormais de se voir infliger des amendes et des dommages-intérêts.
Comment cela affecte les utilisateurs de Matomo
Nos serveurs Cloud se trouvent en Allemagne .
Les utilisateurs de Matomo On-Premise choisissent eux-mêmes l’emplacement de leurs données. Si les serveurs sont situés dans l’UE, rien ne change. Si les serveurs sont situés en dehors de l’UE et que le site Web cible les utilisateurs de l’UE et suit les données personnelles, vous devez déterminer si vous êtes tenu de demander le consentement pour le suivi.
Si les données sont stockées dans l’UE, vous pouvez utiliser Matomo sans demander de consentement et vous pouvez continuer à suivre les utilisateurs même s’ils rejettent un écran de consentement, ce qui augmente considérablement la qualité de vos données.
Vous voulez éviter d'informer les utilisateurs sur le transfert de leurs données aux États-Unis et sur tous les risques associés ?
Essayez Matomo gratuitement dès maintenant ! Ne nécessite pas de carte de crédit.
