Il y a un peu plus d'un mois, NIB a déposé 101 plaintes contre plusieurs entreprises basées dans l'UE/EEE parce qu'elles continuent à utiliser Google Analytics et Facebook Connect sur leurs sites web - transférant ainsi des données personnelles à Google et Facebook aux États-Unis. Selon le Arrêt de la CJUE du 16 juillet 2020Les transferts de données sont illégaux car Google et Facebook sont soumis aux lois de surveillance américaines et doivent divulguer les données des utilisateurs européens aux services de renseignements américains.
Les entreprises concernées n'ont pratiquement pas réagi - malgré la menace d'une amende de 20 millions d'euros
S'il est politiquement clair qu'il n'y aura pas de nouveau "bouclier de la vie privée" ou de "sphère de sécurité" dans un avenir proche, de nombreuses entreprises semblent continuer à faire l'autruche
Même de nombreux avocats et "experts" ignorent les déclarations claires de la CJUE et prétendent que tout va bien tant que l'on conclut des clauses contractuelles types ("SCC") avec le destinataire des données - une erreur de jugement totale, qui peut coûter cher aux entreprises
La CJUE a clairement indiqué que les CSC ne peuvent être utilisés si le destinataire aux États-Unis est soumis aux lois de surveillance américaines (telles que la FISA 702). Les autorités de protection des données peuvent imposer des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel pour une violation des règles de GDPR sur le transfert de données. Ces amendes s'ajoutent aux éventuelles demandes de dommages et intérêts des utilisateurs concernés.
Les 101 plaintes déposées par NNIB ont donc été conçues comme un signal d'alarme : la décision de la plus haute cour de justice de l'UE doit être respectée ; tant les exportateurs de données dans l'UE que les importateurs de données aux États-Unis doivent inspecter les transferts de données critiques et, si nécessaire, les arrêter. S'ils ne le font pas volontairement, la CJUE a explicitement placé les autorités européennes de protection des données dans l'obligation d'interdire ces transferts de données
Il semble que les opérateurs de sites web contre lesquels NIB a déposé les 101 plaintes aient largement ignoré cette possibilité. Au 22.09.2020, seules deux entreprises et une université ont contacté noyb - toutes basées au Liechtenstein. Elles ont pu prouver qu'elles avaient retiré les éléments de code pour Google Analytics ou Facebook Connect de leurs sites web. noyb a ensuite retiré les plaintes concernées devant l'autorité de protection des données du Liechtenstein.
"Jusqu'à présent, seuls les opérateurs de sites web du Liechtenstein nous ont surpris positivement. Ils ont réagi rapidement et correctement et ont arrêté les transferts de données qui violaient le GDPR. Nous avons par la suite retiré les plaintes. Malheureusement, nous n'avons pas eu de nouvelles des opérateurs de sites web des autres États membres. Plus ces entreprises attendent, plus elles ont de chances d'être sanctionnées par les autorités de protection des données". - Marco Blocher, avocat spécialisé dans la protection des données au sein du NNIB.
Google et Facebook gardent également le silence
Outre les opérateurs de sites web, les 101 plaintes sont également dirigées contre les importateurs de données Google et Facebook aux États-Unis, qui peuvent également être tenus pour responsables de transferts de données en violation de la GDPR. Facebook n'a jusqu'à présent fait aucun commentaire de fond sur les 101 plaintes ; Google a seulement fourni des mots vides de sens, disant qu'ils sont "engagés à assurer qu'en vertu des CSC applicables fournis par Google, les protections de la vie privée requises sont maintenues indépendamment de l'emplacement des données". Le géant de la Silicon Valley, cependant, n'a pas de réponse quant à la façon dont il entend éviter d'être soumis aux lois de surveillance américaines.
"Jusqu'à présent, les grandes sociétés de données américaines répètent comme un mantra qu'elles évaluent la situation et veillent à ce que les données des utilisateurs soient protégées sur la base des CSC. Ces phrases vides de sens ne changent rien au fait que les lois de surveillance américaines donnent aux autorités telles que la NSA le droit d'accéder à de vastes quantités de données qui sont transférées aux États-Unis. Jusqu'à présent, il n'y a que le silence sur ce conflit entre les contrats avec les clients de l'UE et les lois américaines" - Marco Blocher
Le Conseil européen de la protection des données a mis en place une Task Force sur les plaintes de Nob
Il y a une évolution positive au niveau de l'UE. Le Conseil européen de protection des données ("CEPD", un organe de l'UE composé de représentants des autorités européennes de protection des données) a mis en place une task force spéciale pour traiter les 101 plaintes. Cette task force doit enquêter sur les faits à l'origine des plaintes et assurer une coopération étroite entre les membres du conseil. L'EDPB va également "préparer des recommandations pour aider les responsables du traitement et les sous-traitants dans leur devoir d'identifier et de mettre en œuvre des mesures supplémentaires appropriées pour assurer une protection adéquate lors du transfert de données vers des pays tiers".
"Nous sommes très heureux que l'EDPB ait pris un rôle actif dans cette affaire et qu'elle s'engage à travailler à un traitement cohérent de nos plaintes. Nous espérons que cette coordination permettra de traiter les plaintes avec la même efficacité et la même rapidité dans tous les pays de l'UE/EEE. Jusqu'à présent, notre expérience montre que certaines autorités de protection des données sont très productives, tandis que d'autres semblent vouloir étouffer toute procédure dans l'œuf. Une approche paneuropéenne est donc en tout cas la bienvenue. Les 101 plaintes ne sont pas complexes en substance et sont presque identiques. Si l'autorité de l'État membre A parvient à traiter une plainte en temps utile, l'autorité de l'État membre B n'a aucune excuse pour ne pas le faire". - Marco Blocher
le NNUB continue de suivre la situation pour chaque plainte afin de s'assurer que les décisions de la CJUE protègent également les droits de chaque citoyen dans sa vie quotidienne.
