Noyb.eu dépose 101 recours auprès des autorités de contrôle. Ils visent autant d’entreprises et organismes installés en UE et dans l’Espace économique européen. En cause ? La transmission de données à Google et Facebook aux États-Unis, en contrariété avec le RGPD et une décision récente de la Cour de justice européenne.
Après une recherche dans le code des sites web concernés, None of Your Business (Noyb), fondée par l'activiste Maximilien Schrems, assure que des transferts de données illégaux vers les États-Unis sont toujours organisés.
Facebook et Google « sont légalement tenues de mettre ces données à la disposition d'agences américaines comme la NSA », affirme l'association, en appui de lois telles que la FISA 702 ou le décret-loi 12.333. Des plaintes similaires ont été lancées aux États-Unis contre les deux sociétés, leur reprochant de poursuivre ces transferts.
« Malgré la décision claire de la Cour de justice de l’Union européenne (CJUE), elles affirment maintenant que les transferts de données peuvent se poursuivre en vertu des clauses contractuelles types ». Or, rétorque Noyb, « vous ne pouvez pas utiliser ces clauses lorsque le destinataire aux États-Unis tombe sous le coup de ces lois de surveillance de masse ».
Invalidation du Privacy Shield et la question des clauses contractuelles types
Pour mieux comprendre, il faut revenir un instant sur la décision du 16 juillet 2020 invalidant le Privacy Shield. Cet arrêt a été rendu à l’initiative d’une procédure lancée déjà par Max Schrems.
Comme l’ancien Safe Harbor, l’accord signé par la Commission européenne permettait de qualifier les États-Unis comme une zone suffisamment sûre pour autoriser les transferts de données par wagons entiers. Selon l’instance bruxelloise, le pays « assure un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies aux États-Unis dans le cadre du bouclier de protection des données ».
Un avis non partagé par les juges européens qui ont constaté que les lois de surveillance outre-Atlantique autorisent des ingérences profondes des autorités, sans être accompagnées de garanties suffisantes, notamment juridictionnelles, au profit des citoyens européens. La coupe était donc trop pleine pour laisser intacte cette brèche.
Le Privacy Shield, en tant que décision d’adéquation, n’était qu’un véhicule pour assurer ces transferts. Le règlement général sur la protection des données personnelles se satisfait également des « clauses contractuelles types ».
Ces clauses ont été énumérées par une décision de 2010 de la Commission européenne. Elles n’ont pas été invalidées le 16 juillet dernier, mais la Cour a néanmoins exigé de disposer de « mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté ».
Mieux, elle a ajouté « que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer ». Un responsable de traitement doit ainsi informer les personnes physiques concernées lorsqu’il est dans l’incapacité de se conformer aux obligations du contrat sur le respect de la législation européenne pour la protection des données personnelles. Ce, même s’il s’appuie sur ces dispositions contractuelles pour installer son pipeline entre l’Europe et les États-Unis.
Et c’est cette brèche qu’exploite désormais Noyb.
Six entreprises françaises parmi les 101 visées, dont Free ou Decathlon
Parmi les 101 structures visées, six françaises. Toutes sont épinglées pour leurs relations tantôt avec Google tantôt avec Facebook. Ce sont Le Huffington Post (Facebook), Leroy Merlin (Facebook), Decathlon France SA (Google), Free Mobile (Facebook), Auchan e-Commerce France (Google) et Sephora SAS (Google).
Systématiquement, l’association débute l’exposé de ses plaintes adressées à la CNIL par un cas pratique. Par exemple, l’un de ses représentants s’est connecté sur le site du Huffington Post tel jour pour constater la présence de code Facebook dans ses sources HTML, issu en particulier de Facebook Connect, un « service utilisé par des sites web tiers, déclenchant le flux de données personnelles de l'utilisateur » entre le site web et le réseau social.
Des données seraient ainsi transférées aux États-Unis. Or, comme on peut le constater sur cette page, le réseau social s’appuie toujours sur le Privacy Shield, aujourd’hui invalidé. Une illégalité manifeste, rétorque l'association, décision du 16 juillet en main.
Noyb prévient au surplus que « le responsable du traitement ne peut pas non plus fonder le transfert de données sur les clauses contractuelles types de protection des données [...] si le pays tiers de destination n'assure pas une protection adéquate, en vertu du droit de l'UE, des données à caractère personnel transférées en application de ces clauses ».
S’agissant de Decathlon France SA, c’est cette fois la présence de code Google Analytics qui est spécialement mise en cause, avec possibles transferts de données vers des sous-traitants installés aux États-Unis. Là encore, Noyb reproche à l’enseigne de s’appuyer sur un Privacy Shield invalidé pour fonder ces transferts (voir les Conditions générales relatives aux données personnelles).
Google assure de son côté que les clauses contractuelles types « constituent des mécanismes juridiques qui permettent le transfert de données au titre du RGPD », malgré la décision de la CJUE. Une interprétation aux antipodes de celles de Noyb.
La CNIL priée d’agir
Cette dernière demande au final aux autorités de contrôle, à la CNIL dans le cas des entreprises françaises, de lancer une « enquête approfondie » pour déterminer les données effectivement concernées par ces transferts.
Elle réclame à ce que soit clairement établi le mécanisme sur lequel chaque entreprise a fondé ces traitements. Enfin, elle souhaite que la commission détermine si les conditions d’utilisation sont en pleine harmonie avec le RGPD, à la lumière de la récente décision de la cour.
Ce n’est pas tout. Noyb sollicite des autorités une interdiction ou suspension immédiate des flux, une amende « effective, proportionnée et dissuasive » contre chacun des 101 sites, mais aussi Facebook et Google, en tenant compte qu'un mois s'est écoulé depuis l’arrêt du 16 juillet sans que les mesures nécessaires n’aient été prises.
Noyb ne compte pas en rester là. Dans un communiqué, elle « prévoit d'augmenter progressivement la pression sur les entreprises européennes et américaines pour qu'elles revoient leurs accords de transfert de données et s'adaptent à la décision claire de la Cour suprême de l'UE ».
Selon Maximilien Schrems, ce laisser-faire est « injuste envers les concurrents qui respectent ces règles. Nous prendrons progressivement des mesures contre les contrôleurs et sous-traitants qui enfreignent le RGPD et contre les autorités qui n'appliquent pas la décision de la Cour, comme le délégué irlandais qui reste en sommeil ».