A compter que vous aviez un doute à ce sujet, je vous le confirme, il est actuellement illégal pour une entreprise suisse d’utiliser Google Analytics 4 (GA4) tel quel comme outil d’analyse pour son site internet.
Certes, mais quel est le risque de son utilisation?
L’application de la nouvelle loi la protection des données (nLPD). Théoriquement, en utilisant GA4, vous vivez avec une épée de Damoclès de CHF 250’000.-. En effet, vous utilisez un outil qui transfert illicitement des données personnelles à un pays étranger, les Etats-Unis, lequel n’est pas considéré par la Suisse comme un Etat « adéquat » en matière de protection des données.
Ces dernières années, l’absence de loi fédérale américaine en matière de protection des données a eu pour conséquence une totale insécurité juridique pour les entreprises suisses et européennes.
Si des accords ont été trouvés pour permettre de considérer les Etats-Unis comme «adéquats», ils ont successivement été attaqués puis annulés. Il est ainsi périodiquement interdit puis autorisé de transférer des données personnelles aux Etats-Unis.
D’ailleurs, le 10 juillet 2023, nos voisins européens ont réouvert implicitement la voie à l’utilisation de GA4 en adoptant une décision d’adéquation concernant les Etats-Unis. La communication de données personnelles de l’Europe vers certaines entités états-uniennes certifiées, dont GOOGLE LLC, peut désormais se faire librement, sans encadrement contractuel supplémentaire.
En Suisse, les agences marketing digital ne peuvent toutefois toujours pas légalement recommander à leurs clients d’utiliser GA4 en tant que tel.
Ce même si l’administration Biden nous indiquait au moins de juillet que le Data privacy Framework Suisse-Etats-Unis permettant la communication des données vers les Etats-Unis entrerait en vigueur le 17 juillet 2023.
En effet, l’affaire n’est pas si claire du côté suisse: le Préposé fédéral à la protection des données nous indiquait au mois de juillet que la Suisse menait des discussions, uniquement, avec les Etats-Unis. Il renvoyait la balle au Conseil fédéral qui est chargé d’établir la liste des pays «adéquats» depuis l’entrée en vigueur de la nLPD le 1er septembre 2023.
Depuis, le silence radio est de mise. Parmi la plus de quarantaine de pays listés par le Conseil fédéral, les Etats-Unis n’y figurent toujours pas.
Le Conseil fédéral se décidera-t-il à ajouter les Etats-Unis à la liste des pays «adéquats»?
D’ici là, la Commission européenne déclarera-t-elle à nouveau la décision d’adéquation européenne illégale? Comme les précédentes décisions, celle adoptée en juillet est en effet déjà contestée judiciairement.
Vive la sécurité juridique pour les entreprises!
Alors, comment s’assurer que la solution d’analyse marketing utilisée pour votre site soit pérenne et légale?
Si vous n’appréciez guère le goût du risque ou préférez tout simplement protéger les données de vos clients des services de renseignements américains, vous avez deux solutions:
- Rendre votre déploiement de GA4 conforme à la protection des données, en prenant des mesures telle que la proxification.
- Opter pour un autre outil suisse ou européen.
Et j’en finirai avec la véritable question: les autorités suisses vont-elles faire la chasse aux utilisateurs de GA4 ? Rien n’est moins sûr compte tenu de la situation, mais prudence est mère de sûreté. Après tout, nul n’est censé ignorer la loi.
Cet article est paru pour la première fois sur le site Investir.ch