- L’autorité autrichienne de protection des données considère les identifiants Google Analytics comme des données à caractère personnel ; la singularisation est déjà suffisante pour porter atteinte au droit fondamental à la protection des données.
- En ce qui concerne les transferts vers des pays tiers, la CPD s’oppose à une approche basée sur les risques ; les lacunes dans la protection juridique du destinataire ne doivent pas être acceptées.
- Les mesures de conformité peuvent avoir pour effet d’atténuer les sanctions, mais ne modifient pas l’examen de l’admissibilité de la transmission concrète à l’étranger.
De Schrems II à Google Analytics I…
L’autorité autrichienne de protection des données (DSB) avait décidé le 22 décembre 2021, suite à une plainte de NOYB, que l’utilisation de Google Analytics contrevient au RGPDL’autorité de protection des données (APD) a estimé que les clauses contractuelles standard n’offraient pas une protection adéquate et que les mesures de protection prises par Google n’étaient pas suffisantes.
La décision a une portée qui va bien au-delà de Google Analytics, notamment parce qu’elle part du principe qu’une référence personnelle à une donnée n’exige pas une identification, mais seulement un tri, un Singularisation; à ce sujet nous avons rapporté. Cependant, certaines déclarations n’étaient pas tout à fait claires et l’on pouvait espérer discrètement que la CPD ne voulait pas vraiment parler de la singularisation, et peut-être même de la survie de “l’approche basée sur le risque” lorsqu’il s’agit de savoir si un ordre juridique étranger déficient s’oppose à un transfert à l’étranger.
… sur Google Analytics II
Cet espoir n’a eu qu’une courte vie. La CPD a remis le couvert en ce qui concerne Google Analytics. Dans une autre décision du 22 avril 2022 (disponible sur noyb) dans le cadre d’une procédure parallèle à Google Analytics I, elle a répondu aux questions encore en suspens, et ce dans l’esprit de la conception de la protection des données basée sur les droits fondamentaux. noyb a Communiqué de presse publié sur la décision.
Oui, une singularisation suffit (au moins ici)
Tout d’abord, les numéros d’identification uniques de Google Analytics sont personnels pour l’APD, car ils permettent de distinguer les visiteurs d’un site web. Ce qui n’était pas tout à fait clair dans la décision Google Analytics I l’est maintenant : pour l’APD la singularisation suffit – du moins dans le domaine en ligne:
Selon l’autorité de protection des données, il y a atteinte au droit fondamental à la protection des données […] lorsque certains organismes prennent des mesures – en l’occurrence, la Attribution de tels numéros d’identification – pour individualiser les visiteurs d’un site web. Un critère d’ ”identifiabilité” en ce sens qu’il doit être possible d’identifier immédiatement ces numéros d’identification. avec un “visage” particulier d’une personne physique – c’est-à-dire, en particulier, le nom du plaignant – est pas offert […].
Ce n’est certainement pas un hasard si la DPD se réfère explicitement à la version anglaise du RGPD, à l’expression “singling out” (considérant 26). Elle a manifestement voulu dissiper tout doute quant au fait que la singularisation était réellement visée.
Comme dans l’arrêt Google Analytics I, la CPD aurait pu laisser cette question ouverte en soi, même si elle y a répondu avec détermination, car dans le cas présent, une identification au sens propre était possible selon les constatations de fait.
L’approche “basée sur le risque” ne s’applique pas aux transferts de données
La DPD part tout d’abord du principe que les clauses contractuelles types ne soutiennent pas en soi un transfert vers les États-Unis, car la jurisprudence Schrems II est pertinente (Google étant un “Electronic Communications Service Provider” au sens de la législation américaine). Il faudrait donc “mesures supplémentaires” au sens de la Décision Schrems II et le les lignes directrices pertinentes de l’EDSA.
La DPO ne demande pas ici la probabilitéque le droit américain problématique est effectivement appliqué. Le fait que les autorités locales ne soient pas liées par les clauses contractuelles types et puissent faire usage de droits d’accès problématiques est suffisant. Ce faisant, la CPD rejette l’approche dite “basée sur les risques”. Cela devient encore plus évident lors de l’examen des mesures supplémentaires. En l’occurrence, aucune mesure n’apparaît comme étant
Les lacunes de la protection juridique – c’est-à-dire les possibilités d’accès et de surveillance des services de renseignement américains – fermer.
Par exemple, il n’était pas évident de savoir
dans quelle mesure la protection des communications entre les services Google, la protection des données en transit entre les centres de données, la protection des communications entre les utilisateurs et les sites web ou une “sécurité sur site” réduisent les possibilités d’accès des services de renseignement américains sur la base du droit américain empêcher réellement ou limiter.
Et plus loin
Ainsi, tant que [Google] se le Possibilité a accès à des données en texte clairLes mesures techniques évoquées ne peuvent pas être considérées comme efficaces au sens des considérations ci-dessus.
Pour la CPD, le “approche basée sur les risques” pour les transferts vers des pays tiers n’a pas été retenue Les lacunes de la protection juridique dans le droit local ne peuvent donc pas être acceptées. Il ne suffit pas que l’application de ces lacunes soit suffisamment improbable ou que le risque qu’elles représentent pour les personnes concernées soit suffisamment faible.
Autres points
Il convient de mentionner que les Langue d’un site web selon l’ORD pas d’orientation de l’offre dans tous les États dans lesquelles cette langue est parlée. Cette question a joué un rôle dans l’examen de la compétence de l’ORD :
La possibilité théorique que des germanophones d’un autre État membre que l’Autriche puissent accéder à www.___at ne saurait fonder l’élément constitutif de l’ ”incidence sur les personnes concernées dans plus d’un État membre” visé à l’article 4, point 23, lettre b du RGPD.
Selon ce raisonnement, une version anglaise d’un site web accessible sous un domaine .ch, par exemple, ne peut pas non plus justifier l’applicabilité du RGPD. C’est exact ; on peut tout au plus en déduire une orientation internationale générale, et non une orientation vers un État de l’EEE.
Notes
La décision de la CPD n’est pas surprenante. Elle ne remonte pas seulement à “Google Analytics I”. Le groupe de travail Art. 29 de l’époque, aujourd’hui l’EDSA, a déclaré en 2014 au sujet de l’approche fondée sur les risques:
Il est important de noter que – même avec l’adoption d’une approche basée sur le risque il n’y a pas de doute sur les droits des individus qui sont affaiblis dans le respect de leurs données personnelles. Ces droits doivent être tout aussi forts, même si le traitement en question est relativement ‘à faible risque’. Au contraire, la scalabilité des obligations légales basées sur le risque adressent des mécanismes de conformité. Cela signifie qu’un contrôleur de données dont le traitement présente un risque relativement faible peut ne pas avoir à faire autant pour se conformer à ses obligations légales qu’un contrôleur de données dont le traitement présente un risque élevé.
[…]1/ La protection des données à caractère personnel est un droit fondamental […].
2/ Les droits accordés au sujet des données par le droit de l’UE doivent être respectés quel que soit le niveau des risques que l’autre subit […].
[…] 4/ Principes fondamentaux applicables aux contrôleurs (i.e. légitimité, minimisation des données, limitation des finalités, transparence, intégrité des données, exactitude des données) devrait rester le mêmequel que soit le traitement et les risques pour les personnes concernées. […]
Cela ne signifie pas que le RGPD n’a pas d’approche basée sur les risques. Il signifie seulement que mesures de conformité organisationnelles doivent être axées sur les risques pour les personnes concernées, ce que le groupe de travail “Article 29” a exprimé comme suit :
3/ Il peut y avoir différents niveaux d’obligation de rendre des comptes en fonction du risque posé par
le traitement en question. Toutefois, les contrôleurs devrait toujours être responsable de la conformité
avec les obligations de protection des données […] quels que soient […] les risques pour les sujets de données.
[…] 5/ Mise en œuvre des obligations des contrôleurs par le biais d’outils et de mesures de responsabilisation (par ex. évaluation de l’impact, protection des données dès la conception, notification des violations de données, mesures de sécurité, certifications) peut et devrait être varied en fonction du type de traitement et des risques pour la vie privée pour les personnes concernées. Il convient de reconnaître que toute obligation de responsabilisation n’est pas nécessaire dans tous les cas – par exemple, lorsque le traitement est à petite échelle, simple et à faible risque.
Les mesures de conformité peuvent donc être orientées en fonction des risques. Lors d’un traitement concret de données, il faut néanmoins s’assurer qu’il n’y a pas de violation. Formulé différemment : Si une violation se produit, l’entreprise ne peut pas objecter qu’elle a pris des mesures de conformité. Une violation La violation n’est donc pas réparée par le fait que des mesures de conformité axées sur les risques ont été prises..
C’est cohérent, car le RGPD manque largement d’un concept de justification flexible ; les considérations correspondantes ne peuvent être intégrées que dans des états de fait d’autorisation. En conclusion, une approche basée sur les risques s’applique donc
- lors de l’examen abstrait de la conformité d’une entreprise,
- mais pas lors de l’examen concret d’une violation.
Dans le cadre de la Annonce à l’étranger cela signifie que pour le niveau des faits – la transmission non autorisée – il faut vérifier si tout contact avec le droit problématique doit être évité ou seulement un risque accru correspondant. En revanche, il n’est pas déterminant de savoir si l’entreprise a pris des mesures de conformité prospectives, par exemple un processus approprié d’évaluation des risques pour les transferts à l’étranger (“TIA”).
La CPD part du principe que l’état de fait ne supporte pas, lors de la transmission, le risque résiduel que le droit problématique puisse s’appliquer, raison pour laquelle elle n’a pas pu parvenir à une autre conclusion. On peut rejeter cette hypothèse de base pour de bonnes raisons. Mais il vaut mieux ne pas parler d’approche basée sur le risque, car il s’agit d’une action concrète et non d’une mesure de conformité. Il serait plus juste d’utiliser l’expression de des niveaux de protection adaptés à chaque individu et à chaque situation concrèteLe principe de l’égalité de traitement doit être examiné par rapport à une transmission individuelle et, le cas échéant, être transmis par le biais des clauses standard, en opposition au principe de l’égalité de traitement. niveau général et abstrait approprié dans le cas d’une décision d’adéquation. Cette distinction montrerait plus clairement qu’il ne s’agit pas tant d’accepter un risque résiduel par pur pragmatisme que de répondre à la question concrète et très légitime de savoir si l’exportateur a des raisons sérieuses de craindre que certaines données concrètement transférées soient exposées aux effets d’un droit problématique.
Les mesures de compliance restent toutefois importantes même en cas de violation, non pas au niveau des faits constitutifs de la violation, mais à celui de l’application de la loi. Conséquences juridiques. Ici, ils peuvent réduisant la sanction de la concurrence. C’est ainsi que la loi sur les cartels comprend la notion de “concurrence”.Défense de la conformité“La loi allemande sur les cartels (Gesetz gegen Wettbewerbsbeschränkungen, GWB), qui ne sera amendée qu’en janvier 2021, en est un exemple : Lors de la détermination de la sanction, les “mesures appropriées et efficaces prises avant l’infraction pour éviter et détecter les infractions” sont prises en compte (en Suisse, on a délibérément renoncé à une réglementation correspondante).
En Suisse il convient de tenir compte d’un autre point. Comme la conception du droit de la protection des données relève avant tout du droit de la personnalité, seule une illicite Violation de la protection des données interdite.
Dans le droit général de la personnalité, cela se traduit par un double examen. D’une part, le comportement doit dépasser le seuil de l’adéquation sociale, c’est-à-dire atteindre une certaine gravité, et d’autre part, une atteinte peut être justifiée. Le droit de la protection des données crée à cet égard Protection de la pisteLa loi sur la protection des données est plus sévère que la loi sur la protection des données, car elle remplace le premier seuil de contrôle par la fiction d’une atteinte à la personnalité en cas de violation d’un principe de traitement. En ce sens, il est plus strict que le droit général de la personnalité.
Il en reste un Justification mais reste ouverte. La violation d’un droit subjectif à la protection des données n’est donc pas illicite si elle est justifiée par des intérêts prépondérants. Dans le cas de la Pesée des intérêts toutes les circonstances doivent être prises en compte et pondérées – les efforts déployés pour éviter la violation jouent un rôle au même titre que sa gravité. Dans cette mesure et au moins dans ce cadre, le droit suisse connaît donc bien une approche basée sur le risque, et ce également au niveau de l’infraction ou de l’illicéité.