DSB autrichien : les outils de méta-traçage sont illégaux

This page has been translated automatically. Read the original or leave us a message if something is not right.
Data Transfers
 /  16 March 2023
FB Pixel

DSB autrichien : les outils de méta-traçage sont illégaux

Dans une décision révolutionnaire concernant l'une des 101 plaintes déposées par noybs, l'autorité autrichienne de protection des données (DSB) a décidé que l'utilisation du pixel de suivi de Facebook violait directement le GDPR et la décision dite "Schrems II" sur les flux de données transatlantiques. En 2020, la Cour de justice (CJUE) a décidé que l'utilisation de fournisseurs américains violait le GDPR, car les lois de surveillance américaines exigent que les entreprises américaines, comme Facebook, fournissent les informations personnelles des utilisateurs aux autorités américaines.

l'arrêt de la CJUE de 2020 entre dans le monde réel. En juillet 2020, la CJUE a statué qu'un transfert vers des fournisseurs américains relevant de FISA 702 et EO 12.333 violait les règles sur les transferts internationaux de données du GDPR. La CJUE a donc annulé l'accord de transfert "Privacy Shield", après avoir annulé l'accord précédent "Safe Harbor" en 2015. Bien que cette décision ait provoqué une onde de choc dans l'industrie technologique, les fournisseurs américains et les exportateurs de données de l'UE ont largement ignoré l'affaire. Tout comme Microsoft, Google ou Amazon, Facebook s'est appuyé sur des "clauses contractuelles types" et des "mesures supplémentaires" pour poursuivre les transferts de données et calmer ses partenaires commerciaux européens. C'est pourquoi noyb a déposé 101 plaintes en août 2020 contre des sites web qui utilisent encore les outils Google Analytics et Facebook Tracking malgré des décisions de justice claires.

"Facebook a prétendu que ses clients commerciaux pouvaient continuer à utiliser sa technologie, malgré deux arrêts de la Cour de justice disant le contraire. Aujourd'hui, la première autorité de régulation a indiqué à un client que l'utilisation de la technologie de suivi de Facebook était illégale" - Max Schrems, président de noyb.eu

Transferts illégaux de données via Facebook Login et Meta Pixel. La décision de l'ORD de déclarer Google Analytics illégal s'applique également aux outils "Facebook Login" et "Meta Pixel" fournis par Meta : Si ces outils sont utilisés, les données sont inévitablement transférées aux États-Unis, où elles risquent d'être surveillées par les services de renseignement. Il est donc conseillé aux exploitants de sites web européens de ne pas inclure d'outils de Meta sur leurs sites web.

Décision applicable à la quasi-totalité des sites web de l'UE. De nombreux sites web utilisent la technologie de suivi de Facebook pour suivre les utilisateurs et leur présenter des publicités personnalisées. Lorsque les sites web intègrent cette technologie, ils transmettent également toutes les données des utilisateurs à la multinationale américaine, puis à la NSA. Alors que la Commission européenne a toujours pour objectif de publier le troisième accord de transfert de données entre l'UE et les États-Unis, le fait que la loi américaine autorise toujours la surveillance de masse signifie que cette question ne sera pas résolue de sitôt.

Solution à long terme. À long terme, il semble y avoir deux options : Soit les États-Unis adaptent les protections de base pour les étrangers afin de soutenir leur industrie technologique, soit les fournisseurs américains devront héberger les données étrangères en dehors des États-Unis. Il est bien connu qu'en raison de son système basé aux États-Unis, Meta est catégoriquement incapable de garantir que les données des citoyens européens ne sont pas interceptées par les agences de renseignement américaines.

Pas de sanction. Il n'y a pas d'information si une sanction a été prononcée ou si l'ORD prévoit d'en prononcer une également. Le GDPR prévoit des sanctions pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial dans de tels cas, mais les autorités chargées de la protection des données ne semblent pas disposées à infliger des amendes, bien que les responsables du traitement aient ignoré deux arrêts de la CJUE pendant plus de deux ans.