CJUE : l'accord Safe Harbor est inefficace
Outre l'accord Safe Harbor, il existe notamment deux possibilités sans le consentement de la personne concernée : Le contrat respectif avec la personne concernée rend intrinsèquement nécessaire un transfert de données vers les États-Unis (par ex. adresse de livraison aux États-Unis) ou un contrat séparé est conclu avec le prestataire de services aux États-Unis. Ce contrat doit contenir des clauses contractuelles types validées par la Commission européenne. Il existe d'autres possibilités, mais elles ne semblent généralement pas pertinentes pour les exploitants de boutiques en ligne.
En ce qui concerne Google Analytics, on estime qu'en utilisant la fonction anonymizeIp, aucune donnée à caractère personnel (mais uniquement une partie non personnelle de l'adresse IP) n'est transmise aux États-Unis et qu'il n'y a donc pas de problème. Toutefois, cette opinion peut être différente, notamment si l'on considère que le contenu de la fonction anonymizeIp est préalablement chargé par Google Inc. et que Google Inc. a donc le contrôle total de l'anonymisation ou non.
Les autorités de protection des données ont déjà annoncé en octobre une procédure rigide ainsi que des contrôles et ont attiré l'attention sur l'amende correspondante (jusqu'à 300.000,00 EUR).