En ce début d’année, deux nouvelles relatives au RGPD et à la chute du « privacy shield » ont attiré mon attention.
La première est une décision de l'autorité Autrichienne de protection des données qui a précisé que l’utilisation de Google Analytics n’est pas conforme au RGPD, décision qui est confirmée dernièrement par une déclaration similaire de la CNIL.
En soit, ce n’est pas une surprise, mais cette reconnaissance explicite va demander une analyse de risque aux utilisateurs de cette solution et peut être les inciter à utiliser des solutions conformes.
La seconde porte sur la condamnation d’un tribunal Allemand prononcée à l’encontre d’un site web qui importait des fontes dans ses pages à partir de serveurs hébergés par Google aux États Unis.
L’argumentaire est que l’adresse IP (qui est une donnée personnelle au sens du RGPD) des visiteurs était de fait communiquée à Google sans qu’ils soient mis au courant.
D’un premier abord, ce ne sont pas des jugements très médiatiques avec des millions en amende à la clef, mais sur le fond on remarque que les tensions autour de la décision « Schrems II » montent entre les régulateurs et les GAFAMs. Il faut dire que ces derniers n’ont fait que des efforts de façade à la suite de cette décision et ont continué leurs pratiques comme si de rien n’était.
On notera que ces décisions ne ciblent pas directement le fournisseur de service, ici Google en l’occurrence, mais les utilisateurs de leur solution.
Désormais la vigilance est de mise pour les entreprises soumises au RGPD.
Revenons sur le second cas qui à mon sens est le plus intéressant à analyser :
On pourrait être tenté de minimiser la gravité réelle en dehors de la non-conformité RGPD, car après tout ce n’est qu’une adresse IP. A bien y regarder ; une adresse IP pour une entité comme Google c’est déjà quelque chose d’intéressant et de facile à recouper avec les autres informations dont ils disposent déjà. Si on couple ça avec la notion de “http referer” qui précise dans la requête quel site web est à l’initiative de la demande, on obtient un moyen de suivre les utilisateurs alors qu’a priori il ne se servent pas de manière consciente de nos services.
Sans vouloir faire de mauvais esprit, je pense qu’on voit un bout de la réponse à la question “Pourquoi Google offrirait il de la bande passante pour fournir des fontes en ligne ?”
On en revient à la base:
“Si c’est gratuit, c’est toi le produit …”
Les conséquences potentielles de ce jugement sur le fonctionnement de l’internet peuvent être importantes : la problématique de la collecte de l’adresse IP par un tiers non conforme peut s’étendre à d’autres types d’inclusion. Par exemple des scripts, des CSS, objets embarqués … et quid des CDNs ?
Une partie des performances de l’Internet dépend d’acteurs qui ne sont pas Européens…
Un autre aspect potentiellement inquiétant est que cette décision laisse la porte ouverte à une nouvelle forme de harcèlement qui pourrait toucher les sites des entreprises qui n’ont pas encore pris conscience de l’ampleur de cette problématique.
On le voit, le cheminement vers une protection correcte des données personnelles n’est décidément pas un long fleuve tranquille!
E. Osmont