La semaine dernière, un tribunal français a conclu que l’utilisation de Google Analytics par une entreprise locale – qui suit et signale le trafic Web – viole les droits des civils français. C’est une décision qui reflète une décision prise en Autriche juste un mois plus tôt et fait partie d’une plus grande poussée dans l’Union européenne pour gérer la façon dont les entreprises américaines utilisent les données démographiques.

L’UE a un accord qui stipule que les entreprises et les lois américaines offrent une protection adéquate aux données des utilisateurs européens. Mais en juillet 2020, les tribunaux européens se sont prononcés sur le pacte, affirmant qu’il n’offrait pas une protection suffisante contre tout examen. Les négociations pour un nouvel accord sont en cours.

Caitlin Fennessy est vice-président de l’International Association of Privacy Professionals, à but non lucratif, basée aux États-Unis. En raison de récentes décisions de justice à l’étranger, a-t-il déclaré, des pressions s’exercent sur les entreprises et les négociateurs.

Caitlin Fennessy : Le besoin de ce transfert de données augmente alors que les options de conformité pour le permettre diminuent rapidement. Bon nombre de ces règles sont fondées sur la protection commerciale. Mais comme nous le savons tous, les entreprises ne peuvent vraiment pas contrôler les lois qui régissent la surveillance. Il y a donc un petit défi ici où les entreprises sont appelées à relever un défi que le gouvernement doit vraiment résoudre du côté de la surveillance.

Kimberley Adams : Que signifie la situation actuelle pour la façon dont des entreprises comme Google opèrent en Europe ?

Fennessy : Cela signifie que le profil de risque actuel auquel l’entreprise est confrontée est beaucoup plus élevé. Maintenant, fondamentalement, les deux premières mesures d’exécution que nous avons vues sortir d’Europe autour de Google Analytics étaient les deux premières décisions dans 101 cas encadrés de manière similaire à travers l’Europe. Nous pouvons donc nous attendre dans les semaines et les mois à venir à voir des dizaines de mesures d’exécution supplémentaires se dérouler de la même manière. Ce qui est important pour les entreprises, je pense, c’est que le risque n’est pas seulement l’application, mais le risque est que leurs propres partenaires de l’UE reconnaissent les risques élevés auxquels ils sont confrontés à mesure que cette application s’écoule et s’éloigne des partenariats avec des partenaires américains.

Adam : Avec cette décision, les entreprises se bousculent quelque peu, que signifient tous les développements récents pour les négociations en cours entre les États-Unis et l’UE pour un nouvel accord potentiel ?

Fennessy : Il ne fait aucun doute que cette dernière action des forces de l’ordre vient de changer la pression en termes de pression à laquelle tout le monde est confronté ici. Les deux parties – les États-Unis et l’UE – ne veulent pas voir un autre cadre tomber, et je pense que nous pouvons tous espérer qu’il sera bientôt remis en question. Ils travaillent donc à construire quelque chose qui va durer et être durable.

Adam : Oui, et je veux dire, avec toutes ces décisions, l’entreprise apporte-t-elle de manière proactive des changements pour essayer de se préparer ? Ou attendent-ils et voient-ils?

Fennessy : Ils ont été proactifs. Ils ont réalisé une évaluation de l’impact du transfert et étudient les options pour localiser et construire un centre de données en Europe. Je pense donc que la grande question à laquelle sont confrontées les entreprises et les gouvernements est, vous savez, combien va changer la façon dont ces services sont structurés et fonctionnent avant qu’une solution négociée par le gouvernement ne soit trouvée ? Et le changement dans une direction que les décideurs politiques et les entreprises américaines et européennes trouvent-ils bénéfique ou non ?

Google a publié une déclaration plus tôt cette année appelant à un nouveau cadre pour le partage de données entre l’UE et les États-Unis. La société a également publié un article de blog sur Google Analytics – des cas cibles en Autriche et en France. Dans ce post, Google le dit a travaillé pour répondre aux normes de confidentialité de l’UE lorsqu’il s’agit de transfert de données outre-Atlantique.

homme politique européen a aussi un article sur la décision française et ce que le transfert de données transatlantique signifie plus largement.

En matière de collecte de données, l’UE n’est pas la seule à réévaluer ses pratiques. Mercredi, Google a annoncé ça fait un peu d’autorégulation, a adopté une nouvelle politique pour limiter le suivi des publicités dans les applications sur les appareils Android, suivant les traces d’Apple un an plus tard. Mais ces changements officiels, comme les négociations, prendront du temps.