23 ans de transferts illégaux de données en raison d'autorités de protection des données inactives et de nouveaux accords entre l'UE et les États-Unis
Dans deux arrêts historiques rendus en 2015 et 2020, la Cour de justice de l'Union européenne (CJUE) a déclaré illégaux les transferts de données entre l'UE et les États-Unis. Ces décisions sont rétroactives, ce qui signifie qu'il n'y avait pas de base juridique pour ces transferts entre 2000 et 2023. Néanmoins, la plupart des entreprises de l'UE ont continué à utiliser des services tels que Google Analytics ou les outils de suivi de Meta, qui impliquent des transferts illégaux de données vers les États-Unis. Une nouvelle analyse des 101 plaintes déposées parnoyb à ce sujet montre maintenant comment une combinaison d'autorités de protection des données inactives et de nouveaux accords de la Commission européenne a conduit à 23 ans de violations de la vie privée.
23 ans de transferts illégaux. La plus haute juridiction européenne a envoyé un message fort en faveur d'une meilleure protection de la vie privée en invalidant les accords de transfert de données "Safe Harbor" et "Privacy Shield" en 2015 et 2020 respectivement. La conséquence logique de cette décision est que presque tous les transferts entre l'Union européenne et les États-Unis depuis l'an 2000 sont illégaux. En réalité, les entreprises n'ont pas cessé cette pratique. Cela a été rendu possible en grande partie par l'inaction des autorités européennes chargées de la protection des données (DPA), qui n'ont pour la plupart pas mis en œuvre les décisions de la CJUE. En combinaison avec de nouveaux accords (et des accords nuls), nous revenons donc sur 23 ans de transferts illégaux de données.
Marco Blocher, avocat spécialisé dans la protection des données chez noyb: "Nous assistons à un certain effondrement de l'État de droit. La plus haute juridiction européenne a déclaré illégaux les transferts de données effectués au cours des 23 dernières années, mais les autorités ont largement fermé les yeux."
De la poussière dans un tiroir. Pour garantir l'application de la loi, noyb a déposé 101 plaintes après que la CJUE a invalidé la décision d'adéquation "Privacy Shield" en 2020. Bien que cet arrêt ait supprimé la base juridique des transferts de données, de nombreux sites web très fréquentés ont continué à transmettre des données sur leurs visiteurs aux serveurs de Google et de Meta aux États-Unis. Malgré des plaintes explicites et le fait que la poursuite des transferts constituait une violation manifeste du GDPR, les autorités compétentes en matière de protection des données n'ont toujours pas pris de décision dans plus de 70 % des plaintes déposées par noybjusqu'à aujourd'hui. le 18 août marque le troisième anniversaire des plaintes.
Une attente interminable. L'arrêt de la CJUE a en fait créé une situation juridique claire permettant aux autorités chargées de la protection des données de prendre une décision relativement rapide dans les affaires de transfert de données. La dernière analyse de noybmontre toutefois que 20 des 32 autorités concernées (62,5 %) n'ont pas pris de décision pour une seule des plaintes déposées auprès d'elles. Même les autorités les plus actives ont pris beaucoup plus de temps que prévu par la loi. La première des 13 décisions actuelles a été rendue par l'ORD autrichien. Il a fallu près d'un an et demi pour rendre une décision sur la plainte de noyb, malgré la simplicité des faits et la clarté de la situation juridique.
Marco Blocher, avocat spécialisé dans la protection des données chez noyb: "Environ deux tiers des autorités chargées de la protection des données auprès desquelles nous avons déposé des plaintes n'ont pas pris la moindre décision en trois ans. Certaines sont même impossibles à joindre et ne fournissent aucune mise à jour sur l'état d'avancement des plaintes. Il est absurde que dans certains États membres, même des affaires aussi simples ne soient pas traitées."
Un mauvais exemple. Ce qui est encore pire, c'est que la Commission irlandaise de protection des données (DPC) - donc l'autorité de contrôle pour Google et Meta - est l'une des 20 autorités de protection des données qui n'ont pas encore bougé le petit doigt. Les six plaintes déposées par noyb auprès de la DPC sont toujours en suspens. Mais l'autorité n'est pas la seule dans ce cas. Il en va de même pour les DPA belge, néerlandaise, grecque, polonaise, slovaque et tchèque. L'analyse complète est disponible ci-dessus.
Personne n'ose infliger d'amende. À ce jour, 73 affaires sont en cours. noyb a gagné neuf affaires, en a gagné trois partiellement et en a perdu une. Mais même les nouvelles positives donnent à réfléchir. Dans un seul cas, l'autorité compétente (en Suède) a imposé une amende pour utilisation illégale de Google Analytics: L'opérateur de télécommunications Tele2 a dû payer un million d'euros et le détaillant en ligne CDON 25 000 euros. Cela ne représente que deux amendes sur 101 cas.
Marco Blocher, avocat spécialiste de la protection des données chez noyb: "Seule l'autorité suédoise a émis une amende, toutes les autres autorités n'ont pas émis d'amende pour une violation évidente du GDPR
La Commission européenne a dépassé les autorités de protection des données. Pour de nombreuses plaintes restantes, trois ans après leur dépôt, on ne sait toujours pas si les autorités de protection des données compétentes parviendront un jour à prendre une décision ou si elles essaieront simplement d'ignorer le problème. Entre-temps, la Commission européenne et les États-Unis se sont mis au travail. À la mi-juillet de cette année, ils se sont mis d'accord sur un "nouveau" cadre transatlantique de protection des données ("TADPF") qui est en grande partie une copie de son prédécesseur. Les citoyens de l'UE n'ont toujours pas de droits constitutionnels aux États-Unis, ce qui permet aux agences de renseignement comme la NSA d'utiliser leurs données à des fins de surveillance. Dans le même temps, le nouveau cadre donne aux autorités chargées de la protection des données la possibilité de suspendre les procédures en cours afin d'attendre de voir si la CJUE invalidera la décision d'adéquation pour la troisième fois.
Marco Blocher, avocat spécialisé dans la protection des données chez noyb: "Nous avons en fait 23 ans d'accords de transfert illégaux consécutifs ou de non-application de la législation. Il est étonnant que toute personne normale reçoive une amende si elle enfreint la loi, alors qu'en ce qui concerne le GDPR, il n'y a tout simplement aucune conséquence - même après deux arrêts de la CJUE"
Les mesures possibles n'ont rien donné. Après que noyb a déposé ses 101 plaintes, il a brièvement semblé qu'il y avait un espoir de résolution rapide. L'EDPB a même mis en place une "taskforce" informelle afin d'éviter une fragmentation de la pratique décisionnelle. Malheureusement, cela n'a pas abouti à une approche uniforme pour mettre un terme aux transferts illégaux de données. Le problème sous-jacent des entreprises qui ne respectent pas la législation européenne en matière de protection des données persiste. Le rapport final de la taskforce ne contient que des déclarations évidentes de haut niveau.
La troisième fois sera-t-elle la bonne ? Tout comme le "Safe Harbor" et le "Privacy Shield", le nouveau "TADPF" sera tôt ou tard contesté devant la CJUE, qui évaluera alors sa validité au regard du droit européen. Étant donné que les problèmes fondamentaux de la législation américaine en matière de surveillance persistent, il y a de fortes chances qu'il subisse le même sort que ses prédécesseurs et qu'il soit déclaré nul avec effet rétroactif. La balle sera alors à nouveau dans le camp des autorités chargées de la protection des données. En fin de compte, elles devront appliquer la décision de la CJUE. Noyb est prêt à exploiter toutes les possibilités juridiques pour obtenir une décision sur les plaintes en cours et, si nécessaire, à déposer de nouvelles plaintes pour s'assurer que les futurs arrêts de la CJUE seront respectés.