L’autorité norvégienne de protection des données (Datatilsynet) a récemment annoncé sa conclusion préliminaire selon laquelle « l’utilisation de Google Analytics était en violation des règles de transfert du RGPD ». Cette décision fait suite à une plainte déposée par l’organisation à but non lucratif NOYB, qui accuse les sites Web européens utilisant Google Analytics de transférer des données personnelles hors de l’EEE en violation du règlement sur la protection des données personnelles (RGPD).

La Norvège pourrait bientôt rejoindre l’Autriche, la France, l’Italie, la Finlande et le Danemark pour interdire pratiquement Google Analytics. Ces pays estiment que l’utilisation de Google Analytics nécessite le transfert de données personnelles (cookies et adresses IP) à Google LLC, basée en Californie, ce qui expose les données au risque de surveillance étatique aux États-Unis. NOYB affirme que les transferts de données ne disposent pas de garanties adéquates contre la surveillance, comme l’a établi la Cour de justice dans l’affaire Schrems II.

Google a tenté de calmer ses partenaires commerciaux européens en affirmant avoir mis en place des « clauses contractuelles types », mais cette position a été rejetée par les autorités de protection des données européennes. La plupart des décisions rendues jusqu’à présent par les autorités ont été coordonnées au niveau européen, ce qui suggère que la Norvège pourrait également adopter une décision finale contre l’utilisation de Google Analytics.

Bien qu’il existe de nombreuses alternatives respectueuses de la vie privée à Google Analytics, le problème des transferts de données est plus important que Google Analytics. De nombreux services basés aux États-Unis nécessitent des transferts de données personnelles et pourraient ensuite être critiqués. Les États-Unis et la Commission européenne ont négocié un nouveau cadre de transfert de données pour faciliter les transferts de données et ont pris des mesures pour les mettre en œuvre, mais l’avenir des transferts de données reste incertain. La décision de la Commission d’adéquation pour les États-Unis, qui facilite grandement les transferts de données avec un pays spécifique, doit encore être approuvée par les États membres et sera certainement contestée devant les tribunaux.

En fin de compte, la position de la Norvège contre Google Analytics reflète une préoccupation croissante concernant les transferts de données internationaux, en particulier ceux impliquant les États-Unis. Les entreprises et les consommateurs devront suivre de près l’évolution de cette question complexe.