Noyb.eu dépose 101 recours auprès des autorités de contrôle. Ils visent autant d’entreprises et organismes installés en UE et dans l’Espace économique européen. En cause ? La transmission de données à Google et Facebook aux États-Unis, en contrariété avec le RGPD et une décision récente de la Cour de justice européenne.
Après une recherche dans le code des sites web concernés, None of Your Business (Noyb), fondée par l'activiste Maximilien Schrems, assure que des transferts de données illégaux vers les États-Unis sont toujours organisés.
Facebook et Google « sont légalement tenues de mettre ces données à la disposition d'agences américaines comme la NSA », affirme l'association, en appui de lois telles que la FISA 702 ou le décret-loi 12.333. Des plaintes similaires ont été lancées aux États-Unis contre les deux sociétés, leur reprochant de poursuivre ces transferts.
« Malgré la décision claire de la Cour de justice de l’Union européenne (CJUE), elles affirment maintenant que les transferts de données peuvent se poursuivre en vertu des clauses contractuelles types ». Or, rétorque Noyb, « vous ne pouvez pas utiliser ces clauses lorsque le destinataire aux États-Unis tombe sous le coup de ces lois de surveillance de masse ».
Invalidation du Privacy Shield et la question des clauses contractuelles types
Pour mieux comprendre, il faut revenir un instant sur la décision du 16 juillet 2020 invalidant le Privacy Shield. Cet arrêt a été rendu à l’initiative d’une procédure lancée déjà par Max Schrems.
Comme l’ancien Safe Harbor, l’accord signé par la Commission européenne permettait de qualifier les États-Unis comme une zone suffisamment sûre pour autoriser les transferts de données par wagons entiers. Selon l’instance bruxelloise, le pays « assure un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies aux États-Unis dans le cadre du bouclier de protection des données ».
Un avis non partagé par les juges européens qui ont constaté que les lois de surveillance outre-Atlantique autorisent des ingérences profondes des autorités, sans être accompagnées de garanties suffisantes, notamment juridictionnelles, au profit des citoyens européens. La coupe était donc trop pleine pour laisser intacte cette brèche.
Le Privacy Shield, en tant que décision d’adéquation, n’était qu’un véhicule pour assurer ces transferts. Le règlement général sur la protection des données personnelles se satisfait également des « clauses contractuelles types ».
Ces clauses ont été énumérées par une décision de 2010 de la Commission européenne. Elles n’ont pas été invalidées le 16 juillet dernier, mais la Cour a néanmoins exigé de disposer de « mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté ».
Mieux, elle a ajouté « que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer ». Un responsable de traitement doit ainsi informer les personnes physiques concernées lorsqu’il est dans l’incapacité de se conformer aux obligations du contrat sur le respect de la législation européenne pour la protection des données personnelles. Ce, même s’il s’appuie sur ces dispositions contractuelles pour installer son pipeline entre l’Europe et les États-Unis.
Et c’est cette brèche qu’exploite désormais Noyb.
Six entreprises françaises parmi les 101 visées, dont Free ou Decathlon
Parmi les 101 structures visées, six françaises. Toutes sont épinglées pour leurs relations tantôt avec Google tantôt avec Facebook. Ce sont Le Huffington Post (Facebook), Leroy Merlin (Facebook), Decathlon France SA (Google), Free Mobile (Facebook), Auchan e-Commerce France (Google) et Sephora SAS (Google).
Systématiquement, l’association débute l’exposé de ses plaintes adressées à la CNIL par un cas pratique. Par exemple, l’un de ses représentants s’est connecté sur le site du Huffington Post tel jour pour constater la présence de code Facebook dans ses sources HTML, issu en particulier de Facebook Connect, un « service utilisé par des sites web tiers, déclenchant le flux de données personnelles de l'utilisateur » entre le site web et le réseau social.
Des données seraient ainsi transférées aux États-Unis. Or, comme on peut le constater sur cette page, le réseau social s’appuie toujours sur le Privacy Shield, aujourd’hui invalidé. Une illégalité manifeste, rétorque l'association, décision du 16 juillet en main.
Noyb prévient au surplus que « le responsable du traitement ne peut pas non plus fonder le transfert de données sur les clauses contractuelles types de protection des données [...] si le pays tiers de destination n'assure pas une protection adéquate, en vertu du droit de l'UE, des données à caractère personnel transférées en application de ces clauses ».
S’agissant de Decathlon France SA, c’est cette fois la présence de code Google Analytics qui est spécialement mise en cause, avec possibles transferts de données vers des sous-traitants installés aux États-Unis. Là encore, Noyb reproche à l’enseigne de s’appuyer sur un Privacy Shield invalidé pour fonder ces transferts (voir les Conditions générales relatives aux données personnelles).
Google assure de son côté que les clauses contractuelles types « constituent des mécanismes juridiques qui permettent le transfert de données au titre du RGPD », malgré la décision de la CJUE. Une interprétation aux antipodes de celles de Noyb.
La CNIL priée d’agir
Cette dernière demande au final aux autorités de contrôle, à la CNIL dans le cas des entreprises françaises, de lancer une « enquête approfondie » pour déterminer les données effectivement concernées par ces transferts.
Elle réclame à ce que soit clairement établi le mécanisme sur lequel chaque entreprise a fondé ces traitements. Enfin, elle souhaite que la commission détermine si les conditions d’utilisation sont en pleine harmonie avec le RGPD, à la lumière de la récente décision de la cour.
Ce n’est pas tout. Noyb sollicite des autorités une interdiction ou suspension immédiate des flux, une amende « effective, proportionnée et dissuasive » contre chacun des 101 sites, mais aussi Facebook et Google, en tenant compte qu'un mois s'est écoulé depuis l’arrêt du 16 juillet sans que les mesures nécessaires n’aient été prises.
Noyb ne compte pas en rester là. Dans un communiqué, elle « prévoit d'augmenter progressivement la pression sur les entreprises européennes et américaines pour qu'elles revoient leurs accords de transfert de données et s'adaptent à la décision claire de la Cour suprême de l'UE ».
Selon Maximilien Schrems, ce laisser-faire est « injuste envers les concurrents qui respectent ces règles. Nous prendrons progressivement des mesures contre les contrôleurs et sous-traitants qui enfreignent le RGPD et contre les autorités qui n'appliquent pas la décision de la Cour, comme le délégué irlandais qui reste en sommeil ».
Commentaires (23)
#1
Intéressant, a voir ce qui va en ressortir.
#2
Merci pour le billet et le travail d’analyse puis, surtout, encore une fois, merci à Schrems !
#3
Pas mal du tout !
Je sors les popcorns pour quand ils feront de même pour les transferts à destination de la Chine (j’imagine que c’est dans les tuyaux).
#3.1
La Chine n’est pas incluse dans le Safe Harbour / Privacy Shield donc les données à caractère personnel des européens ne devraient pas, en théorie, y être transférées.
Par surcroît, les exemples donnés dans le billet sont parlants : facebook connect et google analytics.
Je ne crois pas avoir d’équivalent chinois qui apparaisse régulièrement dans mon uMatrix.
#4
Un peu déçu que les reproches cités soient du Google Analytics et ce genre de chose. Ca ne les excuse pas, loin de là, mais il y a tellement pire. C’est juste que l’on parle ici de fraudes facilement identifiables.
Si je prends le cas d’un gros FAI français qui a longtemps stocké (et le fait peut être encore) les factures clients sur OneDrive aux USA, ça serait infiniment plus grave. Mais pour savoir ça, il faut le voir en interne, on ne peut pas le deviner en examinant un site web. Et la source de cette dénonciation pourrait avoir des problèmes (sortir des notes de réunion…), donc… on ne dit rien.
#5
PS : ce que je veux dire par là, c’est que si l’on défendait réellement les lanceurs d’alertes, certaines grosses entités auraient du soucis à se faire ^^. Et à côté de ça, Google Analytics c’est peanuts.
#5.1
Je ne pense pas que ce soit peanuts, car le module est présent sur 90% des sites web (à la louche, j’ai pas les chiffres) et collecte tellement de métadonnées concernant les gens qui ne le bloquent pas qu’ils peuvent en faire un profil encore plus fin qu’ils ne le feraient en lisant les mails (diantre, ils le font déjà) ou les factures client d’un FAI, m’est avis.
Et FB connect c’est la même chose à ceci-près qu’il est (un poil) moins présent qu’analytics et qu’en plus il l’associe aux “amis” facebook, etc.
#6
Enfin une bonne nouvelle
#7
Si cet opérateur envoie encore ses factures sur OneDrive, ne sont-elles pas maintenant présentes en France (Issy-les-Moulineaux) car Microsoft stocke (en théorie) les données de ses clients Français là-bas.
La poste et plein de PME utilisent OneDrive. Et de plus en plus les administrations Françaises (Azure notamment). Et pour ces dernières, stockant des données régaliennes, elles doivent être localisées en France. Contractuellement parlant.
#7.1
Heureusement que les frontières empêchent le transfert de données depuis l’Europe vers les USA.
#8
Je suis assez surpris d’ apprendre qu’il n’y a QUE six entreprises françaises dans le lot …
#9
Merci pour l’article 😉
#10
Cet activiste est un héros.
Dire que l’essentiel de la population se fiche éperdument de ce qu’il fait pour elle…
#11
J’ai l’impression que l’invalidation du Privacy Shield n’a eu aucun effet. Mise à part les news des sites spécialisés, je ne vois aucune conséquence si ce n’est cet article. Pas de réaction des élus ?
#11.1
C’est l’été, les décideurs (industriels ou politique) ne sont pas préoccupé de cette contrainte juridique et ils attendent le retour de leur service juridiques pour agir.
C’est d’ailleurs une ecellente chose que d’attaquer quand le fer est encore chaud, cela fera rentrer dans le crâne des décideurs que les données personnels sont des choses importantes et que l’on ne peut pas les négliger.
#11.2
Ca m’a étonné aussi. Mais comme dit en fin d’actu, ce n’est qu’un premier lot.
Concernant Auchan, Leroy Merlin, et Decathlon, c’est peut-être un tir groupé envers des sociétés appartenant au même groupe Mulliez.
On ne peut pas compter le nombre de personnes qui attrapent la gripe, et en même temps, parler de la protection des données des europếens
#12
MERCI MARC ! C’est relayé !
#13
La différence c’est que OneDrive est un service de Microsoft, donc une entreprise américaine.
Microsoft n’est pas régie par les lois européennes (du moins directement mais elle est quand même sensée respecter le RGPD, puisque traitant les données de personnes morales et physiques européennes)
Par contre, à la différence d’une entreprise européenne, Microsoft doit respecter le Cloud Act et donc d’en permettre le bon fonctionnement.
Le Cloud Act oblige toute entreprise américaine, quel que soit le lieu d’hébergement des données, d’en remonter les données à la demande. C’est pourquoi Azure, Google Drive ou OneDrive par exemple sont à bannir.
#14
Plus on est de chiens…
Les pauvres employés du capitalimse de surveillance, leur envoyer Cruella il fallait oser.
#15
Et le RGPD l’interdit expressément. S’ils ne le respectent pas, ils peuvent potentiellement aller jusqu’à se faire bannir de l’UE, et le savent très bien.
#16
Si l’UE avait fait son boulot, elle aurait protégé Nokia, favorisé les formats OpenDocument dans tous les ministères et organismes publics, poussé GNU/Linux dans les magasins et l’éducation nationale, etc
Au lieu de ça, elle fabrique de l’usine à gaz normatif de type RGPD, qui fait bien rire les GAFAM, en continuant de leur lécher les bottes - parce que corruption et lobbying à Bruxelles ont complètement pourri la machine.
Donc le jour où l’on sera enfin sorti de l’UE, comme les anglais, on pourra prendre les mesures fortes qui s’imposent.
En attendant, dès que voyez l’UE s’agiter, vous savez que vous avez juste une bande d’escrocs en cols blancs, qui font semblant de brasser du vent pour tenter de justifier leur salaire et avantages indécents.
La seule chose qui est illégale, c’est l’UE elle même depuis que sarkozy a trahi le référendum français de 2005, en allant signer le traité de Lisbonne qui reprenait le même texte. Pour cette seule raison, lui et ses copains devraient tous croupir en taule jusqu’à la fin de leurs jours.
#17
Les conséquences du jugement Schrems II vont se faire sentir une fois qu’une jurisprudence sera actée envers une entreprise. Aujourd’hui, les services juridiques se grattent la tête en essayant de ménager le choux et la chèvre (les métiers et la réglementation).
C’est une très bonne initiative qui est donc une suite logique à la décision de ce début d’été. Maintenant les choses vont devoir changer et tout le monde va être attentif à la manière dont cela va se faire.
#17.1
Ménager la pomme et le pigeon plutôt.
Comment émanciper autrui sans l’être soi-même ?