Le 22 avril 2022, et après avoir déjà frappé un grand coup avec sa première décision concernant Google Analytics qui aura par la suite été suivie par la CNIL, l’autorité de protection des données autrichienne revient à la charge contre les outils Google et les transferts hors UE qu’ils engendrent, estimant cette fois que la mise en conformité d’un tel transfert ne doit pas être proportionnée au niveau de risque du traitement concerné. En revanche, il convient d’utiliser cette méthode pour déterminer si un transfert hors UE est réalisé ou non : autrement dit, dès lors qu’il y a un risque sérieux de transfert, il est nécessaire de mettre ces mesures en place. Par ailleurs, l’APD ne se gardera pas, dans sa décision, de préciser que l’anonymisation des données par Google n’est pas une mesure suffisante de sécurisation du transfert des données, avant — de manière plus surprenante — de l’exonérer de toute responsabilité dans l’affaire concernée.
