101 Plaintes déposées sur les transferts UE-USA

17 Août 2020

Une analyse rapide du code source HTML des principales pages web de l'UE montre que de nombreuses entreprises utilisent toujours Google Analytics ou Facebook Connect un mois après un arrêt important de la Cour de justice de l'Union européenne (CJUE) - bien que ces deux entreprises relèvent clairement des lois de surveillance américaines, telles que la FISA 702. Ni Facebook ni Google ne semblent avoir de base juridique pour les transferts de données. Google prétend toujours se prévaloir du "Privacy Shield" un mois après son invalidation, tandis que Facebook continue d'utiliser les "SCC", malgré la conclusion de la Cour selon laquelle les lois de surveillance américaines violent l'essence des droits fondamentaux de l'UE.

101 plaintes ont été déposées, concernant des entreprises de 30 États membres de l'UE et de l'EEE Des plaintes ont été déposées dans les 30 États membres de l'UE et de l'EEE contre 101 entreprises européennes qui transmettent encore des données sur chaque visiteur à Google et Facebook Les plaintes sont également déposées contre Google et Facebook aux Etats-Unis, pour avoir continué à accepter ces transferts de données, alors qu'ils sont en violation de la GDPR. Les sites web ont été choisis en fonction du TLD de l'État membre (comme ".fr" pour la France), de deux codes spécifiques et du trafic de la page.

"Nous avons fait une recherche rapide sur les principaux sites web de chaque État membre de l'UE pour trouver le code de Facebook et Google. Ces extraits de code transmettent des données sur chaque visiteur à Google ou Facebook. Les deux sociétés admettent qu'elles transfèrent des données d'Européens vers les États-Unis pour traitement, où elles sont légalement tenues de mettre ces données à la disposition d'agences américaines comme la NSA. Ni Google Analytics ni Facebook Connect ne sont indispensables pour faire fonctionner ces pages web et sont des services qui auraient pu être remplacés ou du moins désactivés à l'heure actuelle. "Max Schrems, président honoraire de noyb.eu, a déclaré

Les entreprises européennes et américaines ignorent largement cette décision Les entreprises américaines telles que Google, Facebook ou Microsoft sont clairement soumises à l'obligation de fournir au gouvernement américain des données à caractère personnel concernant des personnes se trouvant dans l'UE, en vertu de lois telles que la FISA 702 ou le décret-loi 12.333. Elles sont même mentionnées dans les documents de Snowden. Malgré la décision claire de la CJUE, ils affirment maintenant que les transferts de données peuvent se poursuivre en vertu des clauses contractuelles types - et de nombreuses exportations de données de l'UE semblent plus que disposées à accepter cette fausse affirmation.

Schrems : "La Cour a été explicite sur le fait que vous ne pouvez pas utiliser les CSC lorsque le destinataire aux Etats-Unis tombe sous le coup de ces lois de surveillance de masse. Il semble que les entreprises américaines tentent toujours de convaincre leurs clients européens du contraire. C'est plus que louche. En vertu des CSC, l'importateur de données américain devrait plutôt informer l'expéditeur de données de l'UE de ces lois et l'avertir. Si cela n'est pas fait, ces sociétés américaines sont en fait responsables de tout dommage financier causé.

Les autorités de protection des données devront prendre des mesures La GDPR exige que chaque autorité de protection des données (DPA) de chaque État membre applique la loi, en particulier lorsqu'elle reçoit une plainte. La Cour de justice a explicitement souligné le devoir d'action des DPA. Cela peut aller de l'avis d'interdiction à des sanctions graves de 20 millions d'euros, soit 4 % du chiffre d'affaires mondial de l'expéditeur européen et du destinataire américain de données à caractère personnel.

noyb le présent document fournit des lignes directrices aux entreprises En particulier pour les petites entreprises européennes qui ne sont pas certaines des lois de surveillance américaines et si leur partenaire américain tombe sous le coup de ces lois, noyb a fourni gratuitement des lignes directrices et des modèles de demande sur sa page web.

D'autres actions en justice sont prévues noyb prévoit d'augmenter progressivement la pression sur les entreprises européennes et américaines pour qu'elles revoient leurs modalités de transfert de données et s'adaptent à la décision claire de la Cour suprême de l'UE. Schrems : "Si nous comprenons que certaines choses puissent nécessiter un certain temps pour être réorganisées, il est inacceptable que certains acteurs semblent simplement ignorer la Cour suprême de l'Europe. C'est également injuste envers les concurrents qui respectent ces règles. Nous prendrons progressivement des mesures contre les contrôleurs et les transformateurs qui violent la GDPR et contre les autorités qui n'appliquent pas l'arrêt de la Cour, comme le DPC irlandais qui reste en sommeil"