L'Autorité de protection des données d'Autriche (DSB) est l'autorité de supervision principale pour les affaires déposées par NOYB — None of Your Business — l'organisation de défense de la vie privée fondée par Max Schrems. NOYB a déposé plus de 1 000 plaintes stratégiques en vertu du RGPD depuis 2018, et le DSB en a traité 422 entre 2022 et 2024. Comprendre l'application du DSB signifie comprendre le contentieux stratégique qui a redéfini deux fois la législation européenne sur les transferts de données.
NOYB et le DSB : Un Modèle d'Application Stratégique
Schrems I (2015) : La plainte de Max Schrems concernant les transferts de données entre Facebook et les États-Unis a finalement invalidé le cadre Safe Harbor utilisé par plus de 4 000 entreprises.
Schrems II (2020) : Le défi de suivi de Schrems a invalidé le Privacy Shield UE-États-Unis, affectant plus de 5 000 entreprises et déclenchant une renégociation d'urgence aboutissant au cadre actuel de protection des données UE-États-Unis (2023).
Schrems III anticipé (2025-2026) : NOYB a déposé des recours contre la décision d'adéquation du DPF, arguant que la section 702 de la FISA reste incompatible avec le RGPD. Un renvoi à la CJUE est anticipé.
78 % des cas d'application du DSB impliquent des transferts de données ou des intégrations tierces — ce focus centré sur le transfert est la caractéristique définissante de l'application autrichienne.
La Décision sur Google Analytics du DSB
La décision du DSB de janvier 2022 concernant Google Analytics a établi le modèle pour toutes les applications de transfert suivantes :
- Les adresses IP sont des données personnelles. Même les IP tronquées combinées avec des données de session permettent la ré-identification dans la base de données de Google.
- Accès des fournisseurs américains = transfert. Lorsque des ingénieurs américains peuvent accéder aux données des utilisateurs de l'UE (pour le support, la maintenance ou une contrainte légale), cet accès constitue un transfert de données en vertu du RGPD.
- SCC sans TIA adéquate = violation. Les Clauses Contractuelles Types sans une Évaluation de l'Impact du Transfert démontrant que la loi de surveillance américaine ne les annule pas sont insuffisantes.
Le DSB a conclu que l'opérateur de site web autrichien — et non Google — était le responsable du traitement des données responsable du transfert illégal. Ce principe affecte chaque entreprise de l'UE qui intègre des scripts tiers.
Mesures Techniques Complémentaires : Ce Qui Fonctionne Réellement
Après Schrems II, le CEPD a émis des recommandations sur les mesures techniques complémentaires requises lorsque les SCC à eux seuls sont insuffisants. Le DSB applique ces recommandations :
Chiffrement avec des clés détenues par l'UE : Si les données personnelles de l'UE sont chiffrées avant le transfert vers les États-Unis, et que les clés de déchiffrement sont détenues exclusivement par des détenteurs de clés basés dans l'UE, les données sont effectivement anonymes aux fins de transfert RGPD — les autorités américaines ne peuvent pas contraindre l'accès à des données qu'elles ne peuvent pas lire.
Pseudonymisation avant le transfert : Si les données transférées ne contiennent que des identifiants pseudonymes (clé de ré-identification détenue dans l'UE), les données transférées ne sont pas des "données personnelles" pour le transfert.
Traitement local : Les données qui ne quittent jamais l'infrastructure hébergée dans l'UE évitent complètement les exigences de transfert. Seules des statistiques agrégées et véritablement anonymisées sont transférées.
Le DSB a constaté que les organisations utilisant des fournisseurs SaaS américains pour le traitement des données personnelles de l'UE doivent soit mettre en œuvre ces mesures, soit démontrer que les données sont véritablement anonymisées.
Le Risque de Schrems III pour les Organisations Utilisant des Fournisseurs Américains
Les organisations s'appuyant uniquement sur le Cadre de Protection des Données UE-États-Unis (DPF) pour les transferts de données vers les États-Unis font face à un risque spécifique : si le défi de NOYB devant la CJUE réussit — comme cela s'est produit avec Safe Harbor (2015) et Privacy Shield (2020) — les organisations doivent immédiatement chercher des mécanismes de transfert alternatifs.
Les organisations utilisant des mesures techniques complémentaires (chiffrement avec des clés détenues par l'UE, véritable anonymisation avant le transfert) sont protégées contre le risque d'invalidation du DPF. Le transfert ne se produit techniquement pas si les données sont véritablement anonymisées ou chiffrées avec des clés auxquelles le fournisseur américain n'a pas accès.
Pour les opérations autrichiennes spécifiquement : l'analyse de site web utilisant des outils américains (Google Analytics, Mixpanel, Amplitude), les systèmes CRM avec des entreprises mères américaines (Salesforce, HubSpot), et l'infrastructure cloud avec un accès administrateur accessible aux États-Unis créent tous une exposition à l'application du DSB. L'atténuation consiste à s'assurer que les données personnelles dans ces systèmes sont soit véritablement anonymisées avant d'atteindre les systèmes du fournisseur, soit chiffrées avec des clés détenues exclusivement par le responsable de l'UE.
Sources :