CPD Autriche : utilisation de Google Analytics interdite ; norme pour le contrôle des pays tiers ; singularisation au lieu d’identification

FR DE EN

David Vasella

sur le site

26.01.2022

Branches

Autorité

DSB (AT)

Lois

DSG 16, RGPD 4, RGPD 46, FISA 702

Thèmes

Annonce à l’étranger, Google, Données personnelles, Singularisation, Impôts

Vente à emporter (AI)

La CPD estime que les transferts vers les États-Unis au moyen de Google Analytics posent des problèmes juridiques, car la législation américaine (FISA 702) peut à elle seule rendre inefficaces les clauses contractuelles standard.
La CPD considère les identifiants Google Analytics comme des données à caractère personnel (singularisation) et souligne l’obligation pour les responsables de rendre des comptes pour apporter des preuves.

L’autorité autrichienne de protection des données (DSB) a publié un rapport détaillé sur la protection des données. Décision partielle du 22 décembre 2021 concernant une plainte de (plus précisément : représentée par) NOYB, l’ONG de Max Schrems. La plainte était dirigée contre une maison d’édition et contre Google LLC (États-Unis).

NYOB avait fait valoir que le L’utilisation de Google Analytics sur le site web de la maison d’édition enfreint le RGPDLa Commission européenne a rejeté la demande de la requérante, car cela impliquait la communication de données personnelles à Google aux États-Unis, sans que les exigences du RGPD en matière de communication de données personnelles à des États tiers soient remplies.

Google s’est vu contraint par la décision de Explication de Google Analytics (22 janvier 2022). La décision pouvait être contestée dans un délai de quatre semaines ; nous ne savons pas si elle est entrée en vigueur entre-temps.

Le point évident : transfert vers les États-Unis

L’utilisation de Google Analytics entraîne un transfert de données personnelles de l’Autriche vers les États-Unis. Certes, les clauses contractuelles standard ont été conclues avec Google (encore les anciennes clauses), mais il est bien connu que celles-ci ne suffisent pas tel quel.

Ici, chez Google, il est désormais clair que Google est un “Fournisseurs de services de communications électroniques“au sens de la loi FISA 702 et qu’il est soumis à cette loi. La transmission à Google peut être effectuée selon la Arrêt Schrems II donc pas uniquement sur les clauses standard être soutenus.

Il restait à savoir si des “mesures de protection supplémentaires” au sens de la Lignes directrices de l’EDSA remédier à cette situation. Du point de vue de la CPD, cela n’a pas été le cas, ce qui n’est pas surprenant :

Un Rapport de transparence sur les demandes des autorités n’est pas une mesure efficace.
Le site Protection de la communication entre les services Google, la protection des données en transit entre les centres de données, la protection des communications entre les utilisateurs et les sites web ou une “sécurité sur site” n’empêchent pas non plus ou ne limitent pas les possibilités d’accès des services de renseignement américains sur la base du droit américain.
Le site Cryptage des “données au repos dans les centres de données ne suffit pas non plus : si l’importateur de données est soumis à la norme FISA 702, il peut être tenu d’autoriser l’accès aux données, y compris, le cas échéant, à la clé ;
également que les données en question pseudonymisé ne suffit pas. La CPD se réfère ici à la “Orientation des autorités de surveillance pour les fournisseurs de télémédias“de la Conférence allemande sur la protection des données. Selon celle-ci, le marquage des utilisateurs par un identifiant n’est pas une mesure de pseudonymisation au sens du RGPD, car les identifiants sont utilisés “pour rendre les individus distincts et adressables. Il n’y a donc pas d’effet protecteur”. La CPD se contente de cette indication sans se prononcer elle-même sur cette question, notamment sur la raison pour laquelle une pseudonymisation devrait échouer tant que les individus sont encore “distinguables”. Sur le fond, cela correspond à l’approche de la SingularisationLa Commission européenne a adopté une directive qui assimile la DPD à l’identification ; voir ci-dessous.

Certes, la CPD a sans doute raison de considérer Google comme un “fournisseur de services de communication électronique” au sens de la norme FISA 702 (même si l’on peut se demander si c’est également le cas dans le contexte de Google Analytics). La question serait toutefois de savoir si l’éditeur une raison de croire a déclaré que “les […] lois et pratiques du pays tiers de destination, y compris les exigences de divulgation des données à caractère personnel ou les mesures autorisant les autorités publiques à accéder à ces données, empêchent l’importateur de données de remplir ses obligations au titre des présentes clauses” (clause 14(a) des nouvelles clauses contractuelles types ; de même, bien que moins clairement, les Lignes directrices de l’EDSA “on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”.).

Toutefois, la CPD n’examine pas cette question, mais se base directement sur la jurisprudence de la CJCE (Schrems II). Par conséquent, la probabilitéqu’une possibilité d’accès théorique des autorités américaines se manifeste. Ce approche absolueL’approche que l’on peut encore observer dans l’arrêt Schrems II devrait être compatible avec les lignes directrices de l’EDSA et, en particulier, avec les lignes directrices de la Commission européenne. nouvelles clauses contractuelles types devrait être surmontée. Dans le même temps, il serait présomptueux d’espérer que d’autres autorités de surveillance européennes adoptent une approche basée sur les probabilités de manière généralisée.

Par ailleurs, l’article 44 du RGPD (principes généraux en matière de transfert de données) confère aux personnes concernées un droit d’accès à leurs données personnelles. droit subjectif:

Compte tenu du libellé de l’article 77, paragraphe 1, du RGPD, ainsi que de la jurisprudence de la CJCE et de la Cour administrative d’Autriche, il convient de retenir comme résultat intermédiaire que la protection des données prévue à l’article 77, paragraphe 1, du RGPD n’est pas suffisante. Chapitre V et en particulier l’obligation normalisée à l’article 44 du RGPD pour les responsables du traitement et les sous-traitants d’assurer le niveau de protection des personnes physiques garanti par le règlement, réciproquement aussi en tant que droit subjectif devant l’autorité de contrôle compétente conformément à l’article 77, paragraphe 1, du RGPD.

Le point peut-être le plus délicat à long terme : la notion de données à caractère personnel

La CPD arrive à la conclusion que des données personnelles sont traitées lors de l’utilisation de Google Analytics. Il fait ainsi une série de constatations délicates :

Peut-être : la singularisation

Lors de l’utilisation de Google Analytics, des identifiants en ligne uniques (“unique identifier”) sont transmis, qui identifient à la fois le navigateur ou l’appareil du plaignant et la maison d’édition (par le biais de l’ID de compte Google Analytics de la maison d’édition en tant qu’exploitant du site web) ; en outre, des informations sur le site web visité, des informations sur le navigateur et le système d’exploitation, etc. et l’adresse IP de l’appareil du plaignant.

Pour qualifier ces données sur le fond, la CPD a tendance à se baser – mais pas clairement – sur la notion de Singularisation de l’entreprise. Il suffit que des mesures soient prises, comme dans le cas présent l’attribution de numéros d’identification, pour que les visiteurs d’un site web soient ainsi identifiés. personnaliser:

Un critère d’ ”identifiabilité” en ce sens qu’il doit être possible d’associer immédiatement ces numéros d’identification à un “visage” particulier d’une personne physique – c’est-à-dire, en particulier, à un numéro de téléphone ou à un numéro de fax. avec le nom du plaignant – à mettre en relation, ne s’impose pas […].

La CPD justifie cette position par l’avis du groupe de l’article 29 de l’époque, qui avait effectivement mentionné le concept de singularisation (Avis 4/2007 sur le concept de données à caractère personnel, 20 juin 2007):

A ce stade, il convient de noter que, bien que l’identification par le nom soit l’occurrence la plus courante dans la pratique, un nom peut ne pas être nécessaire dans tous les cas pour l’identification un individu. Cela peut se produire lorsque d’autres “identifiants” sont utilisés pour distinguer quelqu’un d’autre. Indeed, computerised files registering personal data usually assign a unique identifier to the persons registered, in order to avoid confusion between two persons in the file. Sur le web également, les outils de surveillance du trafic web permettent d’identifier facilement le comportement d’une machine et, derrière la machine, celui de son utilisateur. Ainsi, la personnalité de l’individu est mise en relief afin de lui attribuer certaines décisions. Sans même se renseigner sur le nom et l’adresse de l’individu, il est possible d’en savoir plus sur lui. possible de catégoriser cette personne sur la base de critères socio-économiques, psychologiques, philosophiques ou autres et de lui attribuer certaines décisions, car le point de contact de l’individu (un ordinateur) ne requiert plus nécessairement la divulgation de son identité au sens étroit du terme. En d’autres termes, la possibilité d’identifier un individu ne signifie plus nécessairement la possibilité de trouver son nom. La définition des données à caractère personnel reflète cette réalité.

La DPD se réfère également au considérant 26 du RGPD :

Le considérant 26 du RGPD plaide en faveur d’une telle interprétation, selon lequel, pour déterminer si une personne physique est identifiable, ” […] il est tenu compte de tous les moyens susceptibles d’être raisonnablement utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique, directement ou indirectement, tels que Trier” (version anglaise du règlement : “singling out”). Sous le terme de “tri”, on trouve le “Sélectionner dans un ensemble”(cf. https://www.duden.de/rechtschreibung/aussondern, consulté le 22 décembre 2021), ce qui correspond aux considérations susmentionnées sur l’individualisation des visiteurs du site web.

On ne peut donc pas reprocher à la CPD d’avoir tiré ses conclusions à l’emporte-pièce. En même temps, il reste à savoir si la CPD a voulu donner une interprétation aussi large de la notion de données personnelles en général ou si ses considérations sur les identifiants en ligne ou même se limiter au cas où – comme c’est le cas ici – une combinaison avec d’autres éléments est possible en plus du tri, ce que confirme l’affirmation suivante :

Dans la littérature, il est également explicitement soutenu qu’un “empreinte numérique“qui permet d’individualiser clairement les appareils – et par conséquent l’utilisateur concret – constitue une donnée à caractère personnel […]. Cette considération peut être appliqué au cas d’espèce en raison de l’unicité des numéros d’identificationLes numéros d’identification peuvent être combinés avec d’autres éléments, comme nous le verrons plus loin.

Il n’est donc pas possible de déterminer de manière définitive si le concept de singularisation est déjà sorti de sa torpeur. La décision de l’ORD a toutefois le potentiel d’orienter à long terme et peut-être dans le cadre d’une évolution dans cette direction. Si tel était le cas, c’est-à-dire si la singularisation s’imposait, cela devrait également conduire à ce qu’une Communication de pseudonymes à des tiers sans possibilité d’attribution, serait considérée comme une communication de données personnelles, ce qui n’est pas le cas aujourd’hui.

Toujours est-il que la CPD ne précise pas explicitement si

les “Fonction d’anonymisation de l’adresse IP” (Anonymisation IP) donnerait un résultat différent, car cette fonction n’était pas implémentée correctement ;
si une L’adresse IP prise isolément est une donnée à caractère personnel, car elle est ici associée à d’autres éléments (en particulier à la base de données Google
Analytics).

Non : approche objective de la détermination de la référence à la personne

La CPD constate en outre que dans le cas concret, le plaignant était même identifiable par son nom. Les explications qu’elle donne ici semblent d’abord relever du une approche objective de la référence aux personnes la parole :

En effet, il n’est pas nécessaire que les parties défenderesses peuvent à eux seuls établir un lien avec une personne, c’est-à-dire que toutes les informations nécessaires à l’identification se trouvent chez eux […]. Il suffit que n’importe qui – avec des moyens légalement admissibles et des efforts raisonnables – puisse établir ce lien avec une personne. […].

L’approche objective ne consiste pas à placer le filtre de l’identification à un niveau plus bas (c’est-à-dire à ne pas examiner sérieusement les possibilités d’identification nécessaires), mais à élargir le cercle des personnes pertinentes avec les possibilités correspondantes ; dans un cas extrême, il suffirait de quelqu’un peut déduire l’identité de la personne concernée.

Ce n’est toutefois pas ce que dit la CPD ici, bien au contraire :

Il ne faut pas oublier que, conformément au considérant 26 du RGPD, il convient également de prendre en considération les éléments suivants la “probabilité” que quelqu’un utilise des moyenspour identifier directement ou indirectement une personne physique. En effet, selon l’autorité de protection des données, la notion de “quiconque” – et donc le champ d’application de l’article 4, point 1, du RGPD – ne doit certes pas être interprétée de manière si large qu’un acteur inconnu quelconque pourrait théoriquement disposer de connaissances spéciales pour établir un lien avec une personne ; cela conduirait en effet à ce que presque toute information tombe dans le champ d’application du RGPD et qu’une délimitation par rapport aux données non personnelles devient difficile, voire impossible. Ce qui est déterminant, c’est de savoir si un effort raisonnable et acceptable une identifiabilité peut être établie […]. Dans le cas présent mais il y a maintenant certains acteurs qui possèdent un savoir spécialiséLe recours à l’article 6, paragraphe 2, de la loi sur la protection des données est un moyen d’établir un lien avec le plaignant, au sens de ce qui précède, et donc de l’identifier.

En l’occurrence, Google est en mesure de procéder à l’identification : le plaignant était connecté à son compte Google lors de sa visite sur le site. Google sait donc au moins que l’utilisateur du compte Google concerné a visité le site web. Certes, cela dépend des paramètres du compte Google. Mais si l’identifiabilité ne dépend que de cela, d’un point de vue technique, tous les Possibilités d’identification est disponible – cela suffit.

En conclusion, la CPD défend également une position de principe. Renversement de la charge de la preuve :

De même, il convient de se référer expressément à la protection des données personnelles prévue par le RGPD. Responsabilité de la partie défenderesse – en tant que responsable du traitement, voir ci-dessous – de mettre en œuvre, conformément à l’article 5, paragraphe 2, en liaison avec l’article 24, paragraphe 1, en liaison avec l’article 28, paragraphe 1, du RGPD, des mesures techniques et organisationnelles appropriées afin de garantir et de pouvoir démontrer que le traitement (avec l’aide d’un sous-traitant) est effectué conformément au règlement. Il s’agit donc d’une dette portable. Il s’agit notamment de prouver qu’un traitement n’est justement pas soumis au règlement.. En dépit des possibilités qui lui ont été offertes à plusieurs reprises, aucune solution n’a été trouvée.

En outre, même les services de renseignement américains pourraient éventuellement procéder à une identification :

Comme le plaignant l’a également indiqué à juste titre, les services de renseignement américains utilisent certains identifiants en ligne (tels que l’adresse IP ou des numéros d’identification uniques) comme point de départ pour la surveillance des individus. Il ne peut notamment pas être exclu que ces services de renseignement aient déjà collecté des informations permettant de remonter jusqu’à la personne du plaignant à partir des données transmises ici.

Estimation

La CPD a tendance à parler ici du concept de la Singularisation la parole. Du point de vue du droit de la discrimination, cela est certes compréhensible à première vue, car l’individualisation de personnes dont le nom n’est pas connu peut suffire à traiter cette personne différemment des autres. Toutefois, dans ce cas, une différence de traitement ne repose pas sur une information à proprement parler personnelle, car les identifiants utilisés pour faire la distinction ne seraient à proprement parler personnels que s’ils étaient général - également par des tiers – à des fins d’identification (comme surtout le nom d’une personne) ; à ce sujet, déjà Rosenthal.

Si, au contraire, ils ne servent que d’une Si l’on utilise le nom de l’organisme comme identifiant, il n’est pas possible de faire le lien avec des données de tiers ou par des tiers, et dans ce cas, on ne peut pas non plus parler d’ ”identification”. Le domaine de protection du droit de la protection des données ne va pas jusqu’à pouvoir devenir un droit général de protection contre la discrimination, surtout en Suisse où les droits fondamentaux n’ont qu’un effet protecteur indirect entre les particuliers. C’est la raison pour laquelle les droits fondamentaux les réglementations européennes ne sont pas reprises telles quelles être.

On peut de toute façon se demander pourquoi la CPD fait ces remarques. Il aurait suffi de constater l’identification claire par Google – en l’occurrence par la connexion au compte Google du plaignant. En fin de compte, les déclarations relatives à la singularisation sont donc obiter dicta. En même temps, il ne faut pas croire que la CPD a négligé la portée de ses opinions ; sa prise de position ne peut pas être considérée comme un accident industriel, mais doit être lue comme une prise de position consciente.

Répartition des rôles

Lors de l’examen de la répartition des rôles en matière de protection des données, la CPD part tout d’abord du principe que la maison d’édition est responsable, car elle utilise Google Analytics. Google, d’autre part, serait pour Google Analytics un Responsable de la commandeCe qui est surprenant, mais en principe correct – en fonction de la configuration de Google Analytics – et qui correspond également à l’objectif de l’enquête. Attitude de Google correspond :

Ce qui est maintenant Traitements de données en relation avec l’outil Google Analytics il convient de noter que [Google] ne fait que mettre ce service à disposition et n’a aucune influence sur l’utilisation des fonctions de l’outil par la première partie plaignante, ni sur les paramètres concrets qu’elle choisit. Par conséquent, dans la mesure où [Google] ne fait que fournir Google Analytics (en tant que service), il n’exerce aucune influence sur les “finalités et les moyens” du traitement des données et doit donc être considéré comme un cas spécifique au sens de l’article 4, point 8, du RGPD. Sous-traitant de se qualifier.

Cela serait sans préjudice du rôle de Google en matière de protection des données en vue d’un éventuel traitement ultérieur des données.

CPD Autri­che : uti­li­sa­ti­on de Goog­le Ana­ly­tics inter­di­te ; nor­me pour le con­trô­le des pays tiers ; sin­gu­la­ri­sa­ti­on au lieu d’identification

Le point évi­dent : trans­fert vers les États-Unis

Le point peut-être le plus déli­cat à long ter­me : la noti­on de don­nées à carac­tère personnel