Ouverture de la boîte de Pandore : Les entreprises ne peuvent pas dire comment elles se conforment à l'arrêt de la CJUE

25 Sep 2020

Ouverture de la boîte de Pandore Les entreprises ne peuvent pas dire comment elles se conforment à l'arrêt de la CJUE

Suite à l'arrêt de la Cour dans l'affaire C-311/18 ("Schrems II") sur le bouclier de protection de la vie privée et les clauses contractuelles types, l'équipe du NNIB et certains de nos membres ont contacté 33 entreprises et services qu'ils utilisent à titre personnel pour leur demander comment ils abordaient les transferts internationaux de données. Les réponses que nous avons reçues étaient très variées : bonnes, mauvaises ou choquantes. Nous avons maintenant compilé un rapport pour le public qui détaille ces réponses.

  • Faites défiler les réponses collectées auprès des entreprises dans ce rapport de 45 pages (PDF) allant de Airbnb à Zoom
  • Consultez le communiqué de presse (PDF)

Après que la CJUE a statué pour la deuxième fois sur les transferts de données entre l'UE et les États-Unis (après la fin de la "sphère de sécurité" en 2015), nous nous demandions si les entreprises sont désormais mieux équipées pour faire face aux règles du GDPR sur les transferts internationaux de données. Les utilisateurs ont le droit d'obtenir des informations détaillées sur l'endroit où leurs données ont été envoyées. En conséquence, le texte suivant a été soumis à chaque entreprise entre juillet et septembre 2020 :

"Cher Monsieur/Madame,

Je suis l'un de vos clients. Conformément aux articles 12, 13, 14 et 15 du GDPR, je vous adresse les demandes suivantes :

  • Transférez-vous des données en dehors de l'UE ? Si oui, vers quels pays ?
  • Quelle est la base juridique invoquée pour chaque transfert (par exemple, décision d'adéquation, CSC, BCR, dérogations...) ? Si vous avez utilisé des CSC ou des RCB, veuillez fournir une copie des CSC ou des RCB utilisés pour chaque transfert.
  • Si vous envoyez des données personnelles aux États-Unis, l'un de vos partenaires relève-t-il de l'article 1881a du titre 50 du Code des États-Unis ("FISA 702") ou fournit-il des données au gouvernement américain en vertu du décret 12.333 ?
  • Si vous envoyez des données personnelles aux États-Unis, quelles mesures techniques prenez-vous pour que mes données personnelles ne soient pas exposées à l'interception par le gouvernement américain en transit ?

Veuillez répondre dans un délai d'une semaine, car le GDPR vous demande de répondre "sans retard excessif". Il s'agit d'une simple demande qui ne nécessite pas d'analyse approfondie. Il ne semble pas nécessaire de s'identifier au-delà de mon adresse électronique, étant donné que je ne demande pas de copie de mes données personnelles. Si vous avez besoin d'informations complémentaires, n'hésitez pas à me contacter.

Veuillez agréer, Monsieur le Président, l'expression de mes sentiments distingués, Nom

Des réponses étonnantes - ou pas de réponse du tout. Les réponses étaient globalement étonnantes. Certaines entreprises comme Airbnb, Netflix et WhatsApp n'ont pas du tout répondu à nos demandes d'informations, tandis que d'autres nous ont simplement renvoyés à leur politique de confidentialité, qui manquait d'explications plus détaillées

D'autres ont fourni des informations qui ne permettent pas vraiment d'avoir plus de certitude : Par exemple, Slack (un logiciel très populaire pour la communication interne dans les entreprises) a déclaré qu'il ne fournissait pas "volontairement" aux gouvernements l'accès aux données, ce qui ne répond pas à la question de savoir s'ils sont obligés de le faire en vertu de lois de surveillance telles que FISA702.

D'autres entreprises ont mieux réussi à répondre à ces questions, comme Microsoft, qui a fourni une réponse à chaque question posée, ou Virgin Media, qui nous a envoyé une copie de ses clauses contractuelles types. Dans le même temps, Microsoft continue de prétendre qu'elle peut transférer des données personnelles aux États-Unis (lien vers le blog de Microsoft), bien qu'elle soit l'une des sociétés explicitement nommées dans les documents divulgués par Edward Snowden et qu'elle numérote publiquement les demandes FISA702 du gouvernement américain ; elle reçu et a répondu.

Dans l'ensemble, nous avons été étonnés par le nombre d'entreprises qui n'ont pu fournir qu'une réponse toute faite. Il semble que la plupart des entreprises n'ont toujours pas de plan pour aller de l'avant.

Souhaitez-vous soumettre une demande similaire aux entreprises et services avec lesquels vous interagissez ? N'hésitez pas à utiliser un de nos modèles sur cette page ici!