La DPA autrichienne a la possibilité d'infliger à Google une amende pouvant atteindre 6 milliards d'euros

06 Mai 2021

Google continue d'envoyer les données des sites Web de l'UE vers les États-Unis, malgré deux arrêts de la Cour de justice. L'autorité autrichienne de protection des données pourrait infliger à Google une amende pouvant atteindre 6 milliards d'euros.


L'été dernier, la Cour de justice des Communautés européennes (CJCE) a statué - déjà pour la deuxième fois - que les lois américaines sur la surveillance rendent généralement illégal le transfert de données personnelles de l'UE vers les États-Unis. Google continue d'ignorer cette décision et soutient maintenant devant l'ORD autrichien (PDF) qu'il peut continuer à transférer les données de millions de visiteurs de sites web de l'UE vers les États-Unis - en contradiction flagrante avec le GDPR. L'autorité autrichienne de protection des données (DSB) a désormais la possibilité d'infliger à Google une amende pouvant atteindre 6 milliards d'euros en vertu du GDPR.

plaintes denoyb contre Google. Après l'arrêt dit "Schrems II" du 16.07.2020, l'organisation noyb de Max Schrems a déposé en août 2020 101 plaintes contre des sites web de l'UE qui continuaient à transmettre à Google et Facebook des données sur chaque visiteur. Toutes les plaintes sont également dirigées contre les sociétés mères américaines de Google et Facebook. En conséquence, les autorités européennes de protection des données ont formé une "Task Force" en septembre 2020. La première de ces plaintes pourrait bientôt faire l'objet d'une décision de l'autorité autrichienne de protection des données (DPA) - et pourrait conduire à une amende massive contre Google.

Google : Des "panneaux" et des "clôtures" contre la loi américaine. Google fait principalement valoir qu'il utilise des "mesures supplémentaires" censées aider à lutter contre la surveillance de la NSA (voir pages 23 à 26). Cependant, aucune de ces mesures n'est nouvelle, ni d'une manière ou d'une autre efficace : Google argumente même avec des panneaux et des clôtures autour des centres de données et un cryptage HTTPS moyen qui n'est qu'un standard minimum même pour les petits sites web. Le fait que ces mesures n'ont aucun impact sur les lois de surveillance américaines est déjà évident dans le propre "rapport de transparence" de Google : rien qu'en 2019, Google a répondu à plus de 201 000 demandes au titre de la loi de surveillance américaine "FISA". Des statistiques plus récentes font défaut.

"Google doit remettre toutes les données en vertu de la loi américaine. Il est grotesque qu'ils argumentent pour avoir des clôtures et des panneaux - les lois américaines de survillance sont également applicables derrière des clôtures. Le cryptage standard n'aide pas non plus, car Google est tenu de remettre les clés de cryptage également. Rien qu'en 2019, ils ont donné au gouvernement américain des données sur des étrangers plus de 201 000 fois." - Max Schrems, président honoraire de noyb.eu

la soumission denoyb déposée. L'autorité autrichienne de protection des données a demandé à noyb de répondre à l'avis de Google. Dans la déclaration de 36 pages, noyb élabore sur la violation évidente du GDPR. Les conclusions juridiques de noyb(allemand, traduction anglaise) ont été déposées aujourd'hui.

"Google admet largement ses violations du GDPR et les preuves sont accablantes. L'autorité reçoit cette affaire sur un plateau d'argent."Max Schrems, président honoraire de noyb.eu

Une pénalité de plus de 6 milliards d'euros possible. Étant donné que la plainte vise Google LLC, qui opère séparément de sa filiale européenne (Google Ireland Ltd), toute autorité de protection des données dans l'UE peut imposer une sanction en vertu du GDPR. Dans ce cas précis, l'autorité autrichienne de protection des données (DPA) peut imposer 4% du chiffre d'affaires mondial de Google LLC - une somme record d'un peu plus de 6 milliards d'euros.

"C'est une occasion unique de faire quelque chose pour la protection des droits fondamentaux et pour le budget d'un comté simultanément. En vertu du GDPR, il existe même une obligation pour les autorités de prononcer des sanctions appropriées et Google remplit vraiment toutes les conditions pour utiliser pleinement l'éventail des sanctions."Max Schrems, président honoraire de noyb.eu

la soumission denoyb souligne également les instruments juridiques permettant de faire appliquer toute décision de l'ORD dans toute l'UE et de saisir tout actif de Google LLC également auprès de tiers (comme les banques internationales).

Contexte: La CJUE a statué dans deux affaires (connues sous le nom de"Schrems I" et"Schrems II") que les données de l'UE ne peuvent plus être stockées auprès d'entreprises américaines si elles tombent sous le coup des lois de surveillance américaines (plus précisément 50 USC § 1881a, également connu sous le nom de "FISA"). Google tombe indiscutablement sous le coup de ces lois américaines et de l'arrêt de la CJUE. Une grande partie de l'industrie américaine continue cependant d'ignorer cette jurisprudence claire pour éviter des mises à niveau coûteuses de leurs systèmes.