Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

RGPD : 101 entités européennes attaquées pour transfert illégal de données vers les États-Unis

Dont six françaises
Droit 6 min
RGPD : 101 entités européennes attaquées pour transfert illégal de données vers les États-Unis
Crédits : ADragan/iStock

Noyb.eu dépose 101 recours auprès des autorités de contrôle. Ils visent autant d’entreprises et organismes installés en UE et dans l’Espace économique européen. En cause ? La transmission de données à Google et Facebook aux États-Unis, en contrariété avec le RGPD et une décision récente de la Cour de justice européenne.

Après une recherche dans le code des sites web concernés, None of Your Business (Noyb), fondée par l'activiste Maximilien Schrems, assure que des transferts de données illégaux vers les États-Unis sont toujours organisés.

Facebook et Google « sont légalement tenues de mettre ces données à la disposition d'agences américaines comme la NSA », affirme l'association, en appui de lois telles que la FISA 702 ou le décret-loi 12.333. Des plaintes similaires ont été lancées aux États-Unis contre les deux sociétés, leur reprochant de poursuivre ces transferts.

« Malgré la décision claire de la Cour de justice de l’Union européenne (CJUE), elles affirment maintenant que les transferts de données peuvent se poursuivre en vertu des clauses contractuelles types ». Or, rétorque Noyb, « vous ne pouvez pas utiliser ces clauses lorsque le destinataire aux États-Unis tombe sous le coup de ces lois de surveillance de masse ».

Invalidation du Privacy Shield et la question des clauses contractuelles types

Pour mieux comprendre, il faut revenir un instant sur la décision du 16 juillet 2020 invalidant le Privacy Shield. Cet arrêt a été rendu à l’initiative d’une procédure lancée déjà par Max Schrems.

Comme l’ancien Safe Harbor, l’accord signé par la Commission européenne permettait de qualifier les États-Unis comme une zone suffisamment sûre pour autoriser les transferts de données par wagons entiers. Selon l’instance bruxelloise, le pays « assure un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies aux États-Unis dans le cadre du bouclier de protection des données ».

Un avis non partagé par les juges européens qui ont constaté que les lois de surveillance outre-Atlantique autorisent des ingérences profondes des autorités, sans être accompagnées de garanties suffisantes, notamment juridictionnelles, au profit des citoyens européens. La coupe était donc trop pleine pour laisser intacte cette brèche.

Le Privacy Shield, en tant que décision d’adéquation, n’était qu’un véhicule pour assurer ces transferts. Le règlement général sur la protection des données personnelles se satisfait également des « clauses contractuelles types ».

Ces clauses ont été énumérées par une décision de 2010 de la Commission européenne. Elles n’ont pas été invalidées le 16 juillet dernier, mais la Cour a néanmoins exigé de disposer de « mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté ».

Mieux, elle a ajouté « que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer ». Un responsable de traitement doit ainsi informer les personnes physiques concernées lorsqu’il est dans l’incapacité de se conformer aux obligations du contrat sur le respect de la législation européenne pour la protection des données personnelles. Ce, même s’il s’appuie sur ces dispositions contractuelles pour installer son pipeline entre l’Europe et les États-Unis.

Et c’est cette brèche qu’exploite désormais Noyb.

Six entreprises françaises parmi les 101 visées, dont Free ou Decathlon

Parmi les 101 structures visées, six françaises. Toutes sont épinglées pour leurs relations tantôt avec Google tantôt avec Facebook. Ce sont Le Huffington Post (Facebook), Leroy Merlin (Facebook), Decathlon France SA (Google), Free Mobile (Facebook), Auchan e-Commerce France (Google) et Sephora SAS (Google).

Systématiquement, l’association débute l’exposé de ses plaintes adressées à la CNIL par un cas pratique. Par exemple, l’un de ses représentants s’est connecté sur le site du Huffington Post tel jour pour constater la présence de code Facebook dans ses sources HTML, issu en particulier de Facebook Connect, un « service utilisé par des sites web tiers, déclenchant le flux de données personnelles de l'utilisateur » entre le site web et le réseau social.

Des données seraient ainsi transférées aux États-Unis. Or, comme on peut le constater sur cette page, le réseau social s’appuie toujours sur le Privacy Shield, aujourd’hui invalidé. Une illégalité manifeste, rétorque l'association, décision du 16 juillet en main.

Noyb prévient au surplus que « le responsable du traitement ne peut pas non plus fonder le transfert de données sur les clauses contractuelles types de protection des données [...] si le pays tiers de destination n'assure pas une protection adéquate, en vertu du droit de l'UE, des données à caractère personnel transférées en application de ces clauses ».

S’agissant de Decathlon France SA, c’est cette fois la présence de code Google Analytics qui est spécialement mise en cause, avec possibles transferts de données vers des sous-traitants installés aux États-Unis. Là encore, Noyb reproche à l’enseigne de s’appuyer sur un Privacy Shield invalidé pour fonder ces transferts (voir les Conditions générales relatives aux données personnelles).

Google assure de son côté que les clauses contractuelles types « constituent des mécanismes juridiques qui permettent le transfert de données au titre du RGPD », malgré la décision de la CJUE. Une interprétation aux antipodes de celles de Noyb.

La CNIL priée d’agir

Cette dernière demande au final aux autorités de contrôle, à la CNIL dans le cas des entreprises françaises, de lancer une « enquête approfondie » pour déterminer les données effectivement concernées par ces transferts.

Elle réclame à ce que soit clairement établi le mécanisme sur lequel chaque entreprise a fondé ces traitements. Enfin, elle souhaite que la commission détermine si les conditions d’utilisation sont en pleine harmonie avec le RGPD, à la lumière de la récente décision de la cour.

Ce n’est pas tout. Noyb sollicite des autorités une interdiction ou suspension immédiate des flux, une amende « effective, proportionnée et dissuasive » contre chacun des 101 sites, mais aussi Facebook et Google, en tenant compte qu'un mois s'est écoulé depuis l’arrêt du 16 juillet sans que les mesures nécessaires n’aient été prises.

Noyb ne compte pas en rester là. Dans un communiqué, elle « prévoit d'augmenter progressivement la pression sur les entreprises européennes et américaines pour qu'elles revoient leurs accords de transfert de données et s'adaptent à la décision claire de la Cour suprême de l'UE ».

Selon Maximilien Schrems, ce laisser-faire est « injuste envers les concurrents qui respectent ces règles. Nous prendrons progressivement des mesures contre les contrôleurs et sous-traitants qui enfreignent le RGPD et contre les autorités qui n'appliquent pas la décision de la Cour, comme le délégué irlandais qui reste en sommeil ».

23 commentaires
Avatar de Mimoza Abonné
Avatar de MimozaMimoza- 18/08/20 à 12:49:17

Intéressant, a voir ce qui va en ressortir.

Avatar de Vaark INpactien
Avatar de VaarkVaark- 18/08/20 à 12:51:59

Merci pour le billet et le travail d'analyse puis, surtout, encore une fois, merci à Schrems !
:inpactitude:

Avatar de pierreonthenet Abonné
Avatar de pierreonthenetpierreonthenet- 18/08/20 à 13:02:30

Pas mal du tout !
Je sors les popcorns pour quand ils feront de même pour les transferts à destination de la Chine (j'imagine que c'est dans les tuyaux).

Avatar de Vaark INpactien
Avatar de VaarkVaark- 18/08/20 à 13:33:14

pierreonthenet

La Chine n'est pas incluse dans le Safe Harbour / Privacy Shield donc les données à caractère personnel des européens ne devraient pas, en théorie, y être transférées.

Par surcroît, les exemples donnés dans le billet sont parlants : facebook connect et google analytics.
Je ne crois pas avoir d'équivalent chinois qui apparaisse régulièrement dans mon uMatrix.

Avatar de grsbdl INpactien
Avatar de grsbdlgrsbdl- 18/08/20 à 13:36:54

Un peu déçu que les reproches cités soient du Google Analytics et ce genre de chose. Ca ne les excuse pas, loin de là, mais il y a tellement pire. C'est juste que l'on parle ici de fraudes facilement identifiables.
Si je prends le cas d'un gros FAI français qui a longtemps stocké (et le fait peut être encore) les factures clients sur OneDrive aux USA, ça serait infiniment plus grave. Mais pour savoir ça, il faut le voir en interne, on ne peut pas le deviner en examinant un site web. Et la source de cette dénonciation pourrait avoir des problèmes (sortir des notes de réunion...), donc... on ne dit rien. :roll:

Édité par grsbdl le 18/08/2020 à 13:39
Avatar de grsbdl INpactien
Avatar de grsbdlgrsbdl- 18/08/20 à 13:45:26

PS : ce que je veux dire par là, c'est que si l'on défendait réellement les lanceurs d'alertes, certaines grosses entités auraient du soucis à se faire ^^. Et à côté de ça, Google Analytics c'est peanuts.

Avatar de Vaark INpactien
Avatar de VaarkVaark- 18/08/20 à 13:55:35

grsbdl

Je ne pense pas que ce soit peanuts, car le module est présent sur 90% des sites web (à la louche, j'ai pas les chiffres) et collecte tellement de métadonnées concernant les gens qui ne le bloquent pas qu'ils peuvent en faire un profil encore plus fin qu'ils ne le feraient en lisant les mails (diantre, ils le font déjà) ou les factures client d'un FAI, m'est avis.
Et FB connect c'est la même chose à ceci-près qu'il est (un poil) moins présent qu'analytics et qu'en plus il l'associe aux "amis" facebook, etc.

Avatar de JD Abonné
Avatar de JDJD- 18/08/20 à 15:34:10

Enfin une bonne nouvelle :yes:

Avatar de Ribibi Abonné
Avatar de RibibiRibibi- 18/08/20 à 15:56:10

grsbdl a écrit :

factures clients sur OneDrive aux USA

Si cet opérateur envoie encore ses factures sur OneDrive, ne sont-elles pas maintenant présentes en France (Issy-les-Moulineaux) car Microsoft stocke (en théorie) les données de ses clients Français là-bas.
La poste et plein de PME utilisent OneDrive. Et de plus en plus les administrations Françaises (Azure notamment). Et pour ces dernières, stockant des données régaliennes, elles doivent être localisées en France. Contractuellement parlant.

Avatar de Vin Diesel Abonné
Avatar de Vin DieselVin Diesel- 18/08/20 à 16:17:54

Je suis assez surpris d' apprendre qu'il n'y a QUE six entreprises françaises dans le lot ... :D

Il n'est plus possible de commenter cette actualité.
Page 1 / 3