Opgelet web developers en agencies! Google Analytics implementeren bij klanten kan een professionele fout zijn (Sirius Legal)

De achtergrond over dit geschil tussen klant en web agency

Het arrest kadert in een erg specifiek geschil tussen een web agency (Cometik) en een brillenwinkel (Optique Saint Jacques).  Het web agency werd in 2016 al ingehuurd om een nieuwe website te bouwen voor de brillenwinkel en om daarna ook support en online marketingdiensten te leveren. Voor de betaling werd een leasingconstructie opgezet met een externe leasingpartner (Leasecom) aan wie gedurende 48 maanden een maandbedrag van 288 euro betaald moest worden.

Na amper een jaar wil de brillenwinkel -om redenen die uit het arrest niet echt duidelijk worden- de overeenkomst opzeggen.  Ze stelt het web agency daarvan op de hoogte en stopt de betalingen aan de leasingpartner.   De leasingpartner liet het daar natuurlijk niet bij en stelde de brillenwinkel in gebreke om de achterstallige maandbedragen plus de contractuele opzegvergoeding te betalen.

Web agency moet GDPR compliance garanderen

Aangezien Optique Sant Jacques weigerde te betalen, eindigde het geschil voor de rechtbank.  In eerste aanleg werd Optique Saint Jacques veroordeeld tot het betalen van alle achterstallen en opzegvergoedingen, maar in beroep werd die beslissing omgekeerd en werd de initiële overeenkomst nietig verklaard.

Saint Jacques had daarvoor een hele reeks uiteenlopende argumenten aangedragen, maar eentje gaf de doorslag voor het Hof van Beroep en het is precies dat argument dat ons vandaag interesseert: door een website op te leveren waarop Google Analytics geïmplementeerd werd, beging de webbouwer een inbreuk op de regels onder GDPR over data transfers buiten de Europese Economische Ruimte en daarmee meteen ook een contractuele fout ten aanzien van de brillenwinkel.  Die laatste mocht immers de oplevering van een kwalitatieve website verwachten die voldoet aan alle technische én wettelijke vereisten voor goede websites.

Wat betekent dat nu precies?

Optique Saint Jacques had voor de rechtbank ingeroepen dat de overeenkomst die zij was aangegaan met haar web agency nietig was omdat de overeenkomst in strijd was met geldende wetgeving.  De opgeleverde website voorzag immers in tracking via Google Analytics, maar op grond van het Schrems II arrest en een hele reeks beslissingen van Franse, Italiaanse, Oostenrijkse en Deense gegevensbeschermingsautoriteiten is het gebruik van Google Analytics in strijd met GDPR.    Optique Saint Jacques stelde voor de rechtbank dat zij door het web agency nooit geïnformeerd was over de juridische risico’s die verbonden zijn aan het gebruik van Google Analytics of andere niet-Europese cloud services en dat de webbouwer daarmee was tekortgeschoten in zijn professionele informatieplicht.

De brillenverkoper had in casu een gerechtsdeurwaarder ingehuurd die vaststelde bij een bezoek aan de website dat “er cookies actief zijn, inclusief cookies van derden, voor operationele doeleinden, statistische analyse, om gerichte inhoud aan te bieden en om de prestaties van advertentiecampagnes te analyseren “ en dat bezoekers wel gewaarschuwd werden, maar dat geen opt-in gevraagd werd.  Cookies werden geplaatst louter door verder te surfen op de website en erger nog “dat cookies automatisch worden geïnstalleerd, ook zonder verdere navigatie”.  Meer zelfs, nadat de gerechtsdeurwaarder de –onvolledige- privacy policy had geraadpleegd werden plots nog eens zes bijkomende cookies, waaronder eentje van Google, geplaatst zonder enige vorm van toestemming.

Het web agency Cometik kon hier niet heel veel tegen inbrengen, behalve dat Optique Saint Jacques heel eenvoudig had kunnen vaststellen dat er een analytics tool draaide op haar website waarmee persoonsgegevens verzameld worden door eenvoudigweg haar eigen website te bezoeken en dat volgens haar de impliciete opt-in voor het plaatsen van cookies “door onze website verder te bezoeken” volstond om op rechtsgeldige wijze persoonsgegevens te verzamelen via Google Analytics.

Korte samenvatting over cookies en data export

Over Google Analytics, cookies en data transfers hebben we de voorbije twee jaar al érg veel geschreven en gesproken.  Over cookies hebben we zelfs een volledig boek geschreven en sinds enkele weken vind je op onze website ook een handige gratis whitepaper met praktische aanwijzingen om je cookie consent in overeenstemming te brengen met de geldende regels.  We herhalen dus niet alle details hier, maar een korte reminder is misschien op zijn plaats:

• Cookies: je hebt altijd voorafgaande, expliciete, vrije en geïnformeerde consent nodig voordat je cookies kan plaatsen.
• Data transfers: het delen van persoonsgegevens (al dan niet verzameld via cookies) met ontvangers buiten de EU kan enkel als je 1/ daarvoor een voldoende juridische basis hebt, meestal in de vorm van Standard Contract Clauses en 2/ een individuele risk assessment hebt gemaakt die de potentiële risico’s voor de rechten van de personen wiens gegevens je verwerkt in kaart brengt en waar nodig bijkomende maatregelen neemt om gegevens vertrouwelijk te houden (meestal encryptie).  De EU onderhandelt weliswaar met de VS over een nieuw “Privacy Shield” dat vrije uitwisseling van persoonsgegevens opnieuw mogelijk moet maken, maar de uitkomst van die gesprekken is op zijn minst onzeker te noemen op heden.
• Google Analytics: GA is enerzijds gebaseerd op cookies en dus is voorafgaande consent vereist en anderzijds is er noodzakelijkerwijze data export naar Google servers in de VS, waarbij door de aard zelf van Google Analytics geen afdoende encryptie mogelijk is. Google Analytics is daardoor door verschillende gegevensbeschermingsautoriteiten in strijd met GDPR bevonden

Wat betekent dit voor web developers en agencies?

Web developers en agencies zijn op basis van bovenstaande maar beter voorzichtig in het kader van de projecten die ze opleveren.  Het is weliswaar de eigenaar van de website -de klant dus- die in principe als verantwoordelijke voor de verwerking van persoonsgegevens aangesproken zal worden door de toezichthoudende overheid in het kader van controles of boetes of door gebruikers in het kader van een eis tot schadevergoeding.

Maar als agency en als webbouwer heb je wél de contractuele verplichting om een goed functionerende en juridisch compliant website of service op te leveren en om juridisch compliant analytics en online marketing op te zetten, conform de gangbare standaarden en gebruiken binnen de sector en met respect voor geldende regelgeving.  Doe je dat niet, dan kan jouw klant mogelijks komen aankloppen om vergoeding te vragen voor de schade die hij of zij zou lijden of, erger nog…. Je klant kan zoals in het voorbeeld hierboven, misbruik maken van de situatie en de ontbinding van de overeenkomst vorderen met terugbetaling van de betaalde bedragen.

Bovendien heb je ook precontractuele informatieplichten ten aanzien van je klant en moet je je klant dus proactief wijzen op potentiële risico’s, zowel technisch als juridisch en heb je een zorgplicht ten aanzien van je klant.  Zorgen dat je op de hoogte bent van potentiële risico’s en waar nodig alternatieven voorzien of aanbevelen is dus een essentieel onderdeel van je job als marketeer of webbouwer.

Vooral schadeclaims door webbezoekers vormen een reëel risico in onze ogen.  We laten jullie zelf uitrekenen wat de kost is als 10.000 of 100.000 websitebezoekers zich verenigen in een groepsclaim en elk 1.000 euro schadevergoeding vragen omdat hun persoonsgegevens onrechtmatig verwerkt werden op een website die door jouw bedrijf werd opgeleverd of binnen een analytics account die door jouw agency wordt beheerd…

Voorkomen is beter dan genezen en dus is een grondige GDPR compliance check van je bedrijf als geheel en van de services die je aanbiedt als webbouwer of agency een absolute must.  Dat kan eventueel gecombineerd worden met een GDPR compliance certificaat of met een gedetailleerde GDPR compliance documentatie als onderdeel van je offertes en contracten.  Wil je klant echt doorgaan met Google Analytics of andere tools of plugins die niet compliant zijn? Zorg dan dat je op zijn minst contractueel vastgelegd hebt dat de verantwoordelijkheid voor het gebruik uitsluitend bij je klant ligt.

Bron: Sirius Legal