Les entreprises ne peuvent pas dire comment elles se conforment à l'arrêt de la CJUE

25 Sep 2020

Ouvrir la boîte de Pandore Les entreprises ne peuvent pas dire comment elles se conforment à l'arrêt de la CJUE

À la suite de l'arrêt de la Cour dans l'affaire C-311/18 ("Schrems II") sur le bouclier de protection de la vie privée et les clauses contractuelles types, l'équipe noyb et certains de nos membres ont contacté 33 entreprises et services qu'ils utilisent à titre personnel pour leur demander comment ils abordaient les transferts internationaux de données. Les réponses que nous avons reçues étaient très variées : bonnes, mauvaises ou choquantes. Nous avons maintenant compilé un rapport pour le public qui détaille ces réponses.

  • Faites défiler les réponses recueillies auprès des entreprises dans ce rapport de 45 pages(PDF), d'Airbnb à Zoom
  • Consultez le communiqué de presse(PDF)

Après que la CJUE s'est prononcée pour la deuxième fois sur les transferts de données entre l'UE et les États-Unis (après la fin du "Safe Harbor" en 2015), nous nous demandions si les entreprises étaient désormais mieux équipées pour faire face aux règles du GDPR sur les transferts internationaux de données. Les utilisateurs ont le droit d'obtenir des informations détaillées, où leurs données ont été envoyées. En conséquence, le texte suivant a été soumis à chaque entreprise entre juillet et septembre 2020 :

"Cher Monsieur/Madame,

Je suis l'un de vos clients. Conformément aux articles 12, 13, 14 et 15 du GDPR, je vous adresse les demandes suivantes :

  • Transférez-vous des données en dehors de l'Union européenne ? Si oui, vers quels pays ?
  • Quelle est la base juridique invoquée pour chaque transfert (par exemple, décision d'adéquation, CSC, BCR, dérogations...) ? Si vous avez utilisé des CSC ou des BCR, veuillez fournir une copie des CSC ou BCR utilisés pour chaque transfert.
  • Si vous envoyez des données personnelles aux États-Unis, l'un de vos partenaires tombe-t-il sous le coup de l'article 1881a du 50 USC ("FISA 702") ou fournit-il des données au gouvernement américain en vertu de l'ordonnance 12.333 ?
  • Si vous envoyez des données personnelles aux États-Unis, quelles mesures techniques prenez-vous pour que mes données personnelles ne soient pas exposées à une interception par le gouvernement américain pendant leur transit ?

Veuillez répondre dans un délai d'une semaine, car le GDPR vous demande de répondre "sans retard excessif". Il s'agit d'une demande simple qui ne nécessite pas d'analyse approfondie. Une identification plus poussée que mon adresse électronique ne semble pas nécessaire étant donné que je ne demande pas une copie de mes données personnelles. Si vous avez besoin de plus amples informations, n'hésitez pas à me contacter.

Je vous prie d'agréer, Madame, Monsieur, l'expression de mes salutations distinguées, Nom "

Desréponses étonnantes - ou pas de réponse du tout. Les réponses ont été globalement étonnantes. Certaines entreprises comme Airbnb, Netflix et WhatsApp n'ont pas du tout répondu à nos demandes d'informations, tandis que d'autres nous ont simplement redirigés vers leur politique de confidentialité, qui ne comportait pas d'explications plus détaillées

D'autres ont fourni des informations qui ne permettent pas vraiment d'obtenir plus de certitudes : Par exemple, Slack (un logiciel très populaire pour la communication interne dans les entreprises) a déclaré qu'il ne fournissait pas "volontairement" aux gouvernements l'accès aux données, ce qui ne répond pas à la question de savoir s'il est contraint de le faire en vertu des lois de surveillance telles que la FISA702.

D'autres entreprises se sont mieux débrouillées avec leurs réponses, comme Microsoft, qui a fourni une réponse à chaque question posée, ou Virgin Media, qui nous a envoyé une copie de ses clauses contractuelles standard. Dans le même temps, Microsoft continue d'affirmer qu'elle peut transférer des données personnelles aux États-Unis(lien vers le blog de Microsoft), bien qu'elle soit l'une des entreprises explicitement nommées par les documents divulgués par Edward Snowden et qu'elle ait publiquement numéroté les demandes FISA702 formulées par le gouvernement américain il reçu et auxquelles elle a répondu.

Dans l'ensemble, nous avons été étonnés par le nombre d'entreprises qui n'ont pas été en mesure de fournir plus qu'une réponse passe-partout. Il semble que la plupart des entreprises n'aient toujours pas de plan pour aller de l'avant.

Souhaitez-vous soumettre une demande similaire aux entreprises et services avec lesquels vous interagissez ? N'hésitez pas à utiliser l'un de nos modèles sur cette page ici!