Transfert de données personnelles : Google dans le viseur d’activistes après une décision défavorable en Autriche

Contactée par l’AFP, l’autorité n’avait pas précisé jeudi si cette décision pouvait mener à des sanctions ou comment elle comptait l’appliquer auprès des millions de sites web qui utilisent Google Analytics.

Dans un article de blog publié mercredi, le groupe américain s’est efforcé de minimiser la décision et d’appeler l’UE et les États-Unis à négocier au plus vite un nouveau cadre juridique de transfert des données.

"Conneries d’éléments de langage" ("Bullshit PR"), a tempêté jeudi sur Twitter Max Schrems, l’activiste à la tête de NOYB, qui accuse Google de faire dévier le sujet de la réforme américaine du renseignement.

Selon lui, ce n’est pas à la justice européenne de s’adapter, mais aux législateurs américains de mieux protéger les consommateurs de Google, Microsoft, Amazon, Apple et Meta (maison mère de Facebook), dès lors que leurs données sont traitées aux États-Unis.

"Sinon, vos clients partiront un jour ou l’autre, de la même manière qu’ils ne font pas confiance aux fournisseurs de cloud russes ou chinois", a-t-il ajouté.

La bataille sur la protection de la vie privée est l’une des nombreuses prises de bec entre les géants américains du numérique et les autorités européennes, qui leur reprochent aussi d’échapper à l’impôt, de perpétuer des pratiques anticoncurrentielles, ou de ne pas lutter assez efficacement contre les discours de haine.

Pas de "règle inflexible"

Les 101 affaires lancées par NOYB dans différents pays concernent soit Google Analytics, soit son homologue Facebook Connect.

Depuis l’invalidation du Privacy Shield en juillet 2020, qui était déjà le deuxième accord sur le sujet, l’UE et les États-Unis n’ont tenu que des réunions sporadiques sans parvenir à trouver un accord pour définir un nouveau cadre permettant d’allier le Règlement européen sur les données personnelles (RGPD) et la réglementation américaine.

Les entreprises américaines qui utilisaient le Privacy Shield, comme Facebook, se sont rabattues sur un autre mécanisme de transfert de données européennes, les "clauses contractuelles type" (SCC), qui offre moins de garanties juridiques.

"Au lieu d’adapter réellement leurs services pour qu’ils soient conformes au RGPD, les entreprises américaines ont simplement essayé d’ajouter un texte à leur politique de confidentialité et d’ignorer la décision de la Cour de justice", a commenté M. Shrems après la décision autrichienne.

Selon l’avocat en chef de Google, Kent Walker, auteur de l’article de blog, des demandes des agences de sécurité américaines concernant les outils de statistiques sont très improbables et, par ailleurs, la décision de la CJUE ne doit pas imposer une "norme inflexible" qui bloquerait la circulation mondiale des données.

Toutefois, "il est temps de trouver un nouveau cadre" pour ces échanges, attendu par les entreprises des deux côtés de l’Atlantique, a-t-il plaidé.

Le porte-parole de la Commission européenne Christian Wigand a déclaré jeudi que les discussions en ce sens s’étaient intensifiées ces derniers mois, mais que les questions étaient "complexes" et que les négociations "prendraient du temps".