L'ONG autrichienne NOYB (pour "None of your business": "ce ne sont pas vos affaires") est une nouvelle fois à la manœuvre. C'est elle qui avait arraché en 2020 l'invalidation du mécanisme juridique permettant le transfert des données personnelles de l'UE vers les États-Unis (nommé Privacy Shield) par la Cour de justice de l'UE (CJUE)
Elle avait par la suite déposé de nombreuses plaintes en Europe pour dénoncer les stratégies de contournement mises en place par les grandes entreprises du web.
La semaine dernière, l'organisation a remporté sa première victoire lorsque l'autorité autrichienne de protection des données a acté que l'outil de mesure d'audience Google Analytics, leader dans son domaine et omniprésent sur le net, transférait bien les données des utilisateurs européens aux États-Unis, les exposant de fait aux programmes de surveillance mis en place par le renseignement américain.
Contactée par l'AFP, l'autorité n'avait pas précisé jeudi si cette décision pouvait mener à des sanctions ou comment elle comptait l'appliquer auprès des millions de sites web qui utilisent Google Analytics.
Dans un article de blog publié mercredi, le groupe américain s'est efforcé de minimiser la décision et d'appeler l'UE et les États-Unis à négocier au plus vite un nouveau cadre juridique de transfert des données.
"Conneries d'éléments de langage" ("Bullshit PR"), a tempêté jeudi sur Twitter Max Schrems, l'activiste à la tête de NOYB, qui accuse Google de faire dévier le sujet de la réforme américaine du renseignement.
Selon lui, ce n'est pas à la justice européenne de s'adapter, mais aux législateurs américains de mieux protéger les consommateurs de Google, Microsoft, Amazon, Apple et Meta (maison mère de Facebook), dès lors que leurs données sont traitées aux États-Unis.
"Sinon, vos clients partiront un jour ou l'autre, de la même manière qu'ils ne font pas confiance aux fournisseurs de cloud russes ou chinois", a-t-il ajouté.
La bataille sur la protection de la vie privée est l'une des nombreuses prises de bec entre les géants américains du numérique et les autorités européennes, qui leur reprochent aussi d'échapper à l'impôt, de perpétuer des pratiques anticoncurrentielles, ou de ne pas lutter assez efficacement contre les discours de haine.
Pas de "règle inflexible"
Les 101 affaires lancées par NOYB dans différents pays concernent soit Google Analytics, soit son homologue Facebook Connect.
Depuis l'invalidation du Privacy Shield en juillet 2020, qui était déjà le deuxième accord sur le sujet, l'UE et les États-Unis n'ont tenu que des réunions sporadiques sans parvenir à trouver un accord pour définir un nouveau cadre permettant d'allier le Règlement européen sur les données personnelles (RGPD) et la règlementation américaine.
Les entreprises américaines qui utilisaient le Privacy Shield, comme Facebook, se sont rabattues sur un autre mécanisme de transfert de données européennes, les "clauses contractuelles type" (SCC), qui offre moins de garanties juridiques.
"Au lieu d'adapter réellement leurs services pour qu'ils soient conformes au RGPD, les entreprises américaines ont simplement essayé d'ajouter un texte à leur politique de confidentialité et d'ignorer la décision de la Cour de justice", a commenté M. Shrems après la décision autrichienne.
Selon l'avocat en chef de Google, Kent Walker, auteur de l'article de blog, des demandes des agences de sécurité américaines concernant les outils de statistiques sont très improbables et, par ailleurs, la décision de la CJUE ne doit pas imposer une "norme inflexible" qui bloquerait la circulation mondiale des données.
Toutefois, "il est temps de trouver un nouveau cadre" pour ces échanges, attendu par les entreprises des deux côtés de l'Atlantique, a-t-il plaidé.
Le porte-parole de la Commission européenne Christian Wigand a déclaré jeudi que les discussions en ce sens s'étaient intensifiées ces derniers mois, mais que les questions étaient "complexes" et que les négociations "prendraient du temps".
