Un mois après le plus haut tribunal d’Europe abattu un accord phare de transfert de données entre l’UE et les États-Unis en tant que groupe de campagne européen de protection de la vie privée dangereux, noyb, a déposé plaintes contre 101 sites Web avec des opérateurs régionaux identifiés comme envoyant toujours des données aux États-Unis via les intégrations de Google Analytics et / ou Facebook Connect.

Parmi les entités énumérées dans sa plainte figurent des entreprises de commerce électronique, des éditeurs et des diffuseurs, des opérateurs de télécommunications et des FAI, des banques et des universités – y compris Airbnb Irlande, Allied Irish Banks, Danske Bank, Fastweb, MTV Internet, Sky Deutschland, Takeaway.com et Tele2, pour n’en nommer que quelques-uns.

“Une analyse rapide du code source HTML des principales pages Web de l’UE montre que de nombreuses entreprises utilisent encore Google Analytics ou Facebook Connectez-vous un mois après un arrêt majeur de la Cour de justice du Union européenne (CJUE) – bien que les deux sociétés tombent clairement sous le coup des lois de surveillance américaines, telles que FISA 702 », écrit le groupe de campagne sur son site Internet.

«Ni Facebook ni Google ne semblent avoir de base légale pour les transferts de données. Google prétend toujours s’appuyer sur le ‘Bouclier de confidentialité ‘ un mois après son invalidation, alors que Facebook continue d’utiliser les “ SCC ” [Standard Contractual Clauses], bien que la Cour ait conclu que les lois américaines sur la surveillance violent l’essence des droits fondamentaux de l’UE. »

Nous avons contacté Facebook et Google pour poser des questions sur leurs bases juridiques pour de tels transferts – et mettrons à jour ce rapport avec toute réponse. Mettre à jour: Un porte-parole de Facebook a déclaré que la société ne commentait pas les cas individuels, mais a souligné article de blog d’hier dans lequel il écrit qu’il «s’est appuyé sur Privacy Shield comme mécanisme de transfert de données pour nos publicités et nos produits de mesure». «À la lumière de l’arrêt de la CJUE, nous travaillons à migrer vers les SCC pour ces produits. Nous mettrons à jour les conditions respectives pour refléter cela, et plus d’informations suivront », ajoute-t-il, sans préciser s’il a procédé à une évaluation de la légalité de l’utilisation des CCS compte tenu de l’absence d’accord d’adéquation entre l’UE et les États-Unis.

Les observateurs de la vie privée sauront que le fondateur de noyb, Max Schrems, était responsable de la contestation judiciaire originale qui a supprimé un accord de données antérieur UE-États-Unis, Safe Harbor, de retour en 2015. Sa plainte mise à jour a fini par supprimer le bouclier de protection des données UE-États-Unis le mois dernier – bien qu’il ait en fait ciblé l’utilisation par Facebook d’un mécanisme de transfert de données distinct (SCC), exhortant son superviseur des données, le DPC irlandais, à intervenir et à suspendre son utilisation de cet outil.

Le régulateur a choisi d’aller en justice à la place, soulevant des préoccupations plus larges concernant la légalité des accords de transfert de données UE-États-Unis – ce qui a conduit la CJUE à conclure que la Commission n’aurait pas dû accorder aux États-Unis un soi-disant “ accord d’adéquation ”, tirant ainsi le tapis sous le bouclier de protection des données.

La décision signifie que les États-Unis sont désormais considérés comme un «pays tiers» en termes de protection des données, sans arrangement spécial pour leur permettre de traiter les informations des utilisateurs de l’UE.

Plus que cela, la décision de la Cour a également indiqué clairement que les organismes de surveillance des données de l’UE ont la responsabilité d’intervenir lorsqu’ils soupçonnent qu’il existe des risques pour les données des citoyens de l’UE si elles sont transférées vers un pays tiers via des SCC.

Watchdogs européens des données rapidement averti il n’y aurait pas de période de grâce pour les entités qui s’appuient toujours illégalement sur le bouclier de protection des données – donc toute personne répertoriée dans la plainte ci-dessus qui fait toujours référence au mécanisme obsolète dans sa politique de confidentialité n’aura même pas une feuille de papier proverbiale pour cacher ses rougeurs juridiques.

L’affirmation de noyb avec cette dernière série de plaintes est qu’aucun des 101 sites Web susmentionnés ne dispose d’une base juridique valide pour continuer à transférer les données des visiteurs aux États-Unis via les intégrations intégrées de Google Analytics et / ou Facebook Connect.

«Nous avons effectué une recherche rapide sur les principaux sites Web de chaque État membre de l’UE pour trouver le code de Facebook et Google. Ces extraits de code transmettent des données sur chaque visiteur à Google ou Facebook. Les deux sociétés admettent qu’elles transfèrent des données d’Européens aux États-Unis pour traitement, où ces sociétés sont légalement tenues de mettre ces données à la disposition des agences américaines comme la NSA. Ni Google Analytics ni Facebook Connect ne sont essentiels pour faire fonctionner ces pages Web et sont des services qui auraient pu être remplacés ou du moins désactivés maintenant », a déclaré Schrems, président d’honneur de noyb.eu, dans un communiqué.

Depuis l’arrêt Schrems II de la CJUE, et en fait depuis la suppression de la sphère de sécurité, le département américain du Commerce et Commission européenne ont collé la tête dans le sable – signalant qu’ils ont l’intention de essayez de bricoler un autre pacte de données pour remplacer l’ancien bouclier de protection des données (qui a remplacé la sphère de sécurité foudroyée en smithereens. Alors, euh…).

Pourtant, sans réforme en profondeur de la loi américaine sur la surveillance, toute troisième tentative des législateurs respectifs de dissimuler le schisme juridique des priorités de sécurité nationale des États-Unis par rapport aux droits à la vie privée de l’UE est tout aussi vouée à l’échec.

Les plus cyniques d’entre vous pourraient dire que les manœuvres administratives de haut niveau autour de ce sujet sont, en fait, simplement destinées à gagner plus de temps – pour que les données continuent de circuler et que le «business as usual» se poursuive.

Mais il existe désormais un risque juridique substantiel associé à une stratégie consistant à prétendre que la loi américaine sur la surveillance n’existe pas.

Voici à nouveau Schrems, sur la décision de la CJUE du mois dernier, suggérant que Facebook et Google pourraient être dans le cadre de la responsabilité juridique s’ils ne préviennent pas de manière proactive les clients de l’UE de leurs responsabilités en matière de données: «La Cour a été explicite que vous ne pouvez pas utiliser les CSC lorsque le le destinataire aux États-Unis relève de ces lois de surveillance de masse. Il semble que les entreprises américaines tentent toujours de convaincre leurs clients européens du contraire. C’est plus que louche. En vertu des SCC, l’importateur de données américain devrait plutôt informer l’expéditeur de données de l’UE de ces lois et l’avertir. Si cela n’est pas fait, ces entreprises américaines sont en fait responsables de tout dommage financier causé. »

Et comme le note le communiqué de presse de Noyb, le régime de sanctions du RGPD peut atteindre 4% du chiffre d’affaires mondial de l’expéditeur de l’UE et le destinataire américain des données personnelles. Alors, encore une fois, salut Facebook, salut Google…

Le groupe de campagne à financement participatif s’est engagé à continuer de faire pression sur les régulateurs de l’UE pour qu’ils agissent et sur les processeurs de données de l’UE to revoir tout accord de transfert de données américain – et «s’adapter à la décision claire de la Cour suprême de l’UE», comme il le dit.

D’autres types d’actions en justice commencent également à s’inspirer du cadre du règlement général sur la protection des données (RGPD) européen – et, surtout, à attirer des financements – comme deux recours collectifs de type Oracle et l’utilisation des cookies de suivi par Salesforce plus tôt ce mois-ci. (Comme nous l’avons dit lors de l’entrée en vigueur du RGPD en 2018, les procès arrivent.)

Maintenant, avec deux grèves claires de la CJUE sur la question de la loi américaine sur la surveillance contre la protection des données de l’UE, il semble que les rendements des géants technologiques américains espèrent faire semblant que tout va bien sur le front du traitement des données.

noyb met également son argent là où sa bouche est – offrant directives gratuites et demandes de modèles que les entités de l’UE doivent utiliser pour les aider à mettre en place leurs affaires de données dans un ordre juridique rapide.

“Bien que nous comprenions que certaines choses peuvent avoir besoin d’un certain temps pour se réorganiser, il est inacceptable que certains joueurs semblent simplement ignorer le plus haut tribunal européen”, a ajouté Schrems, dans d’autres commentaires sur la dernière flottille de plaintes. «C’est également injuste envers les concurrents qui respectent ces règles. Nous prendrons progressivement des mesures contre les contrôleurs et sous-traitants qui enfreignent le RGPD et contre les autorités qui n’appliquent pas la décision de la Cour, comme le DPC irlandais qui reste en sommeil.

Nous avons contacté la Commission irlandaise de protection des données pour lui demander quelles mesures elle prendrait à la lumière des dernières plaintes noyb, dont un certain nombre ciblent des sites Web qui semblent être gérés par une entité juridique basée en Irlande.

La plainte originale de Schrems en 2013 contre l’utilisation des SCC par Facebook a également abouti en Irlande, où le géant de la technologie – et bien d’autres – situe son QE européen. La demande de Schrem visant à ce que la DPC ordonne à Facebook de suspendre son utilisation des SCC n’a toujours pas été satisfaite, environ sept ans et cinq plaintes plus tard. Et le régulateur continue de faire face à des accusations d’inaction, compte tenu de l’arriéré croissant de plaintes transfrontières GDPR contre des géants de la technologie comme Facebook et Google.

Le DPC irlandais n’a pas encore rendu une seule décision finale sur l’une de ces plaintes majeures au RGPD. Mais la pression légale sur lui et tous les régulateurs de l’UE pour qu’il agisse et applique la loi du bloc ne fera qu’augmenter, même si des poursuites de type class action sont déposées pour essayer de faire ce que les régulateurs n’ont pas fait.

Plus tôt cet été la Commission a reconnu le manque d’application uniformément «vigoureuse» du RGPD lors d’un examen des deux premières années de fonctionnement du mécanisme.

«Le comité européen de la protection des données [EDPB] et les autorités chargées de la protection des données doivent intensifier leurs travaux pour créer une culture européenne véritablement commune – fournir des orientations plus cohérentes et plus pratiques, et travailler à une application vigoureuse mais uniforme “, a déclaré Věra Jourová, vice-présidente de la Commission pour les valeurs et la transparence, Première évaluation publique de la Commission sur le fonctionnement du RGPD.

Nous avons également contacté la CNIL française pour lui demander quelles actions elle entreprendrait à la lumière des plaintes noyb.

À la suite du jugement de juillet, Le régulateur français a déclaré il «procédait à une analyse précise», avec l’EDPB, en vue de «tirer le plus rapidement possible des conclusions sur les conséquences de l’arrêt pour les transferts de données de l’Union européenne vers les États-Unis».

Depuis lors, les directives de l’EDPB ont été publiées – ce qui est évident: que les transferts sur la base du bouclier de protection des données «sont illégaux». Et bien que la décision de la CJUE n’invalide pas l’utilisation des CSC, elle n’a donné qu’un feu vert très nuancé à une utilisation continue.

Comme nous l’avons signalé le mois dernier, la possibilité d’utiliser les SCC pour transférer des données vers les États-Unis dépend de la capacité d’un contrôleur de données à offrir une garantie légale que «la loi américaine n’empiète pas sur le niveau adéquat de protection» des données transférées.

«La possibilité ou non de transférer des données personnelles sur la base des SCC dépendra du résultat de votre évaluation, en tenant compte des circonstances des transferts et des mesures supplémentaires que vous pourriez mettre en place», a ajouté l’EDPB.

Leave a Reply