A compter que vous aviez un doute à ce sujet, je vous le confirme, il est actuellement illégal pour une entreprise suisse d’utiliser Google Analytics 4 (GA4) tel quel comme outil d’analyse pour son site internet.

Certes, mais quel est le risque de son utilisation?

L’application de la nouvelle loi la protection des données (nLPD). Théoriquement, en utilisant GA4, vous vivez avec une épée de Damoclès de CHF 250’000.-. En effet, vous utilisez un outil qui transfert illicitement des données personnelles à un pays étranger, les Etats-Unis, lequel n’est pas considéré par la Suisse comme un Etat « adéquat » en matière de protection des données.

Ces dernières années, l’absence de loi fédérale américaine en matière de protection des données a eu pour conséquence une totale insécurité juridique pour les entreprises suisses et européennes.

Si des accords ont été trouvés pour permettre de considérer les Etats-Unis comme «adéquats», ils ont successivement été attaqués puis annulés. Il est ainsi périodiquement interdit puis autorisé de transférer des données personnelles aux Etats-Unis.

D’ailleurs, le 10 juillet 2023, nos voisins européens ont réouvert implicitement la voie à l’utilisation de GA4 en adoptant une décision d’adéquation concernant les Etats-Unis. La communication de données personnelles de l’Europe vers certaines entités états-uniennes certifiées, dont GOOGLE LLC, peut désormais se faire librement, sans encadrement contractuel supplémentaire.

En Suisse, les agences marketing digital ne peuvent toutefois toujours pas légalement recommander à leurs clients d’utiliser GA4 en tant que tel.

Ce même si l’administration Biden nous indiquait au moins de juillet que le Data privacy Framework Suisse-Etats-Unis permettant la communication des données vers les Etats-Unis entrerait en vigueur le 17 juillet 2023.

En effet, l’affaire n’est pas si claire du côté suisse: le Préposé fédéral à la protection des données nous indiquait au mois de juillet que la Suisse menait des discussions, uniquement, avec les Etats-Unis. Il renvoyait la balle au Conseil fédéral qui est chargé d’établir la liste des pays «adéquats» depuis l’entrée en vigueur de la nLPD le 1er septembre 2023.

Depuis, le silence radio est de mise. Parmi la plus de quarantaine de pays listés par le Conseil fédéral, les Etats-Unis n’y figurent toujours pas.

Le Conseil fédéral se décidera-t-il à ajouter les Etats-Unis à la liste des pays «adéquats»?

D’ici là, la Commission européenne déclarera-t-elle à nouveau la décision d’adéquation européenne illégale? Comme les précédentes décisions, celle adoptée en juillet est en effet déjà contestée judiciairement.

Vive la sécurité juridique pour les entreprises!

Alors, comment s’assurer que la solution d’analyse marketing utilisée pour votre site soit pérenne et légale?

Si vous n’appréciez guère le goût du risque ou préférez tout simplement protéger les données de vos clients des services de renseignements américains, vous avez deux solutions:

  1. Rendre votre déploiement de GA4 conforme à la protection des données, en prenant des mesures telle que la proxification.
  2. Opter pour un autre outil suisse ou européen.

Et j’en finirai avec la véritable question: les autorités suisses vont-elles faire la chasse aux utilisateurs de GA4 ? Rien n’est moins sûr compte tenu de la situation, mais prudence est mère de sûreté. Après tout, nul n’est censé ignorer la loi.

 

Avocate en nouvelles technologies et cybersécurité, ROULET Avocats et Fondatrice de Code+.

Code+ est une plateforme suisse romande permettant aux entreprises d’accéder à des avocats et à des experts spécialisés en nouvelles technologies, internet et cybersécurité. Les avocats et experts de Code+ sont solidement implantés en Suisse romande et travaillent en étroite collaboration sur les projets et les litiges de leurs clients ou en cas de cyberattaque et de fuite/vol de données. Ils conseillent et défendent les entreprises dans toutes les affaires liées de près ou de loin à la technologie et à l’internet. Code+ offre également une solution simple aux entreprises afin d’externaliser leurs services juridiques et de cybersécurité.