Sur cette page, nous avons résumé les options qui s'offrent aux utilisateurs qui souhaitent empêcher le transfert de leurs données vers les États-Unis après l'arrêt de la CJUE dans l'affaire C-311/18 ("Schrems II") sur le "Privacy Shield" et les "Standard Contractual Clauses" ("SCCs"). En outre, nous avons ajouté quelques FAQ qui peuvent vous aider à identifier les cas où vous êtes en droit de demander l'arrêt des transferts de données.
Que puis-je faire maintenant ?
Le RGPD vous donne des droits pour obtenir des informations sur l'utilisation de vos données et adopter les mesures qui conviennent- utilisez-les !
ÉTAPE 1 : Demandez si vos données sont transférées en dehors de l'UE
Vous pouvez demander à l'organisation qui traite vos données (une entreprise, une institution publique ou toute autre entité) si elle transfère vos données en dehors de l'UE, et où, à qui et sur quelle base. Cela fait partie de votre droit d'accès et de votre droit d'être informé. Une telle demande peut être adressée à l'organisation en question par courrier électronique (en général, ils fournissent un courrier électronique où vous pouvez envoyer de telles demandes). Comme cette réponse ne nécessite pas une analyse approfondie de la part de l'organisation, et compte tenu du fait que l'arrêt de la CJUE ne prévoit pas de délai de grâce pour les transferts internationaux illégaux, celle-ci devrait vous fournir une réponse assez rapidement
Vous pouvez utiliser le texte suivant pour rédiger votre demande :
Madame, Monsieur,
Je suis l'un de vos clients. Conformément aux articles 12, 13, 14 et 15 de la GDPR, je vous adresse la demande suivante :
- Transférez-vous des données en dehors de l'UE ? Si oui, vers quels pays ?
- Quelle est la base juridique que vous utilisez pour chaque transfert (par exemple, décision d'adéquation, CCT, BCR, dérogations...) ? Si vous avez utilisé des SCC ou des RCB, veuillez fournir une copie des CCT ou des RCB utilisés pour chaque transfert.
- Si vous envoyez des données personnelles aux États-Unis, l'un de vos partenaires relève-t-il de l'article 1881a du 50 USC ("FISA 702") ou fournit-il des données au gouvernement américain en vertu du décret 12.333 ?
- Si vous envoyez des données personnelles aux États-Unis, quelles mesures techniques prenez-vous pour que mes données personnelles ne soient pas exposées à une interception par le gouvernement américain en transit ?
Veuillez répondre dans un délai d'une semaine, car le GDPR vous demande de répondre "sans retard excessif". Il s'agit d'une simple demande qui ne nécessite pas une analyse approfondie. Il ne semble pas nécessaire de s'identifier au-delà de mon adresse électronique, étant donné que je ne demande pas de copie de mes données personnelles. Si vous avez besoin d'informations complémentaires, n'hésitez pas à me contacter.
Salutations,
[Votre nom]
ÉTAPE 2 : Demandez que vos données ne soient plus transférées aux États-Unis
Si la société ou l'organisation vous informe que vos données sont envoyées à une société américaine qui relève des lois de surveillance de masse ci-dessus, vous pouvez demander à la société européenne d'arrêter le transfert de ces données.
Vous pouvez utiliser le texte suivant pour rédiger votre demande :
Madame, Monsieur,
Je suis l'un de vos clients. J'ai des raisons de croire que vous transférez illégalement mes données personnelles aux États-Unis.
Si vous transférez des données à caractère personnel à un "fournisseur de services de communication électronique" basé aux États-Unis, tel que défini dans le 18 U.S. Code §1881(4)(b), ou si vous continuez à utiliser le Privacy Shield pour de tels transferts, je vous demande d'arrêter immédiatement le transfert de mes données à caractère personnel. Veuillez me faire savoir dans un délai d'une semaine à quelle date vous arrêterez le transfert. Veuillez m'informer dans un délai d'une semaine de la date à laquelle vous aurez mis fin à ces transferts
Si vous avez besoin d'informations complémentaires, n'hésitez pas à me contacter.
Veuillez agréer, Monsieur le Président, l'expression de mes sentiments distingués,
[Votre nom]
ÉTAPE 1+2 : Demander que vos données ne soient plus transférées aux États-Unis
Vous pouvez également combiner une demande d'information avec une demande d'arrêt des transferts de données :
Vous pouvez utiliser le texte suivant pour rédiger votre demande :
Madame, Monsieur,
Je suis l'un de vos clients. Conformément aux articles 12, 13, 14 et 15 du RGPD, je vous adresse la demande suivante :
- Transférez-vous des données en dehors de l'UE ? Si oui, vers quels pays ?
- Quelle est la base juridique invoquée pour chaque transfert (par exemple, décision d'adéquation, SCC, BCR, dérogations...) ? Si vous avez utilisé des CCT ou des BCR, veuillez fournir une copie des CCT ou des BCR utilisés pour chaque transfert.
- Si vous envoyez des données à caractère personnel aux États-Unis, certains de vos partenaires relèvent-ils de l'article 1881a du titre 50 du Code des États-Unis ("FISA 702") ou fournissent-ils des données au gouvernement américain en vertu du décret présidentiel 12.333 ?
- Si vous envoyez des données personnelles aux États-Unis, quelles mesures techniques prenez-vous pour que mes données personnelles ne soient pas exposées à l'interception par le gouvernement américain en transit ?
- Si vous transférez des données personnelles à un "fournisseur de services de communication électronique" basé aux États-Unis, tel que défini dans le 18 U.S. Code §1881(4)(b), ou si vous continuez à utiliser le Privacy Shield pour ce transfert, je vous demande d'arrêter immédiatement le transfert de mes données personnelles
Veuillez répondre dans un délai d'une semaine, considérant que le GDPR vous demande de répondre "sans retard excessif". Il s'agit d'une simple demande qui ne nécessite pas d'analyse approfondie. Il ne semble pas nécessaire de s'identifier au-delà de mon adresse électronique, étant donné que je ne demande pas de copie de mes données personnelles. Si vous avez besoin d'informations complémentaires, n'hésitez pas à me contacter.
Veuillez agréer mes salutations distinguées,
[Votre nom]
ÉTAPE 3 : Déposez une plainte auprès de votre autorité de protection des données pour faire cesser le transfert vers les États-Unis
Si votre entreprise ne met pas fin aux transferts inutiles vers les États-Unis ou ne répond pas, vous pouvez toujours déposer une plainte auprès de l'autorité locale de protection des données
Vous trouverez sur cette page un lien vers votre autorité locale de protection des données (DPA) https://edpb.europa.eu/about-edpb/board/members_en. La procédure exacte de dépôt d'une plainte dépend des lois du pays où vous la déposez, mais elle est généralement assez informelle. La plupart des sites web de la DPA proposent un formulaire de plainte où vous pouvez expliquer votre situation.
À titre indicatif, vous pouvez utiliser le texte suivant pour déposer une plainte :
Nous pourrions proposer des textes plus spécifiques à l'avenir. N'oubliez pas d'ajouter à ce texte une explication de votre situation personnelle.
Madame, Monsieur,
Je suis un client de [nom et adresse de l'entreprise]
Les détails de mon compte sont [remplissez ici].
Je pense que [nom de la société] continue à transférer illégalement mes données à caractère personnel parce que [mentionnez toute indication, telle que sa politique de confidentialité ou la réponse qu'elle vous a envoyée]
Je me réfère à l'arrêt de la CJUE dans l'affaire C-311/18 - Schrems II. Étant donné que [nom de l'organisation] continue de transférer mes données à caractère personnel aux États-Unis sans base juridique appropriée, je vous demande d'enquêter sur cette affaire et d'ordonner la suspension ou l'interdiction du traitement
Bien à vous,
[Votre nom]
FAQ pour les utilisateurs
Pourquoi la Cour a-t-elle estimé qu'il y avait des problèmes avec les transferts de données entre l'UE et les États-Unis ?
La législation européenne accorde à chacun le droit au respect de la vie privée, à la protection des données et à un recours devant un tribunal. La Cour de justice de l'UE a confirmé ces droits en ce qui concerne les transferts de données vers les États-Unis dans son arrêt sur le bouclier de protection de la vie privée et les CSC. En bref, la Cour a déclaré que la surveillance de masse aux États-Unis et l'absence de protection juridique contre la surveillance illégale font qu'il est souvent (mais pas toujours) illégal pour les entreprises d'envoyer vos données aux États-Unis
Quels sont les transferts de données qui sont encore légaux ?
En vertu de l'article 49 GDPR, certains transferts "nécessaires" sont toujours légaux en toutes circonstances (par exemple, lorsque vous réservez un hôtel aux États-Unis et que la réservation est envoyée à l'hôtel américain). Il est toujours légal de transférer des données lorsque vous avez été informé des lois américaines et que vous y avez consenti explicitement et librement. Vous devez pouvoir retirer ce consentement à tout moment, sans conséquence négative
Vous pouvez également toujours envoyer vos propres données aux États-Unis (si vous souhaitez utiliser directement un fournisseur qui se trouve uniquement aux États-Unis).
Quels sont les transferts de données illégaux ?
Les transferts vers des sociétés américaines qui relèvent d'une loi américaine de "surveillance de masse" comme la FISA 702 (également appelée 50 USC §1881a) sont généralement illégaux. Les entreprises qui ne peuvent pas s'y fier sont les soi-disant "fournisseurs de services de communications électroniques". Il s'agit d'un terme général dans la législation américaine qui couvre la plupart des fournisseurs de services informatiques et de services dans le cloud.
Voici quelques exemples de ces prestataires AT&T, Amazone (AWS), Apple, Cloudflare, Boîte de dépôt, Facebook, Google, Microsoft, Verizon Media (connu sous le nom de Oath & Yahoo) ou Verizon. Les liens de chacune des entreprises vous mèneront à leurs rapports de transparence qui vous indiqueront à quelle fréquence elles ont fait l'objet de demandes d'accès aux données du gouvernement américain.
Cela signifie que les situations typiques d'"externalisation" (lorsqu'une entreprise de l'UE transmet vos données à une entreprise américaine qui les traite à son tour) sont dans la plupart des cas illégales.
N'oubliez pas que lorsque vous résidez dans l'UE, vous avez souvent un contrat avec une filiale européenne de cette société américaine (par exemple, les utilisateurs de Facebook ont un contrat avec Facebook Ireland). S'ils sous-traitent tout ou partie du traitement de vos données à la société mère américaine, le transfert est tout aussi illégal.
Qu'est-ce que le "Privacy Shield" et que sont les "Clauses contractuelles types" ou "CSC" ?
Selon le GDPR, les données personnelles ne peuvent pas quitter l'UE. À titre d'exception à cette règle, les entreprises peuvent utiliser certains instruments juridiques pour autoriser les transferts. Deux des instruments les plus courants sur lesquels les entreprises s'appuient pour transférer vos données de l'UE vers les États-Unis sont les "clauses contractuelles types" (ou "CTT") et le "bouclier de protection de la vie privée" ("Privacy Shield").
Le bouclier de protection de la vie privée a été invalidé par la Cour de justice, il n'existe donc plus. Depuis le 16 juillet 2020, les données ne peuvent plus être transférées vers les États-Unis sur base du Privacy Shield
La même interdiction s'applique presque à l'utilisation des CCT : Toutes les entreprises qui relèvent d'une loi américaine de "surveillance de masse" ne peuvent plus utiliser les CCT. En effet, les CCTne peuvent pas passer outre à la législation américaine.
Qu'est-ce que cela signifie dans la vie de tous les jours ?
Vous trouverez ci-dessous quelques exemples de cas courants susceptibles d'impliquer le transfert de vos données à caractère personnel aux États-Unis
Les affaires qui sont généralement concernées par le jugement :
Si vous êtes client d'une entreprise de l'UE/EEE, cela :
- est une filiale intégrée d'une société américaine (par exemple Google, Apple, Amazon, Microsoft, Facebook, Instagram, Twitter, Yahoo et autres) ou
- s'appuie sur le stockage ou un autre type de traitement aux États-Unis (de nombreuses entreprises européennes "moyennes").
Les affaires qui ne sont généralement pas concernées par l'arrêt :
Les transferts strictement nécessaires sont encore légaux, en voici quelques exemples :
- Réserver un hôtel ou un autre logement directement aux États-Unis ou par l'intermédiaire d'une agence de voyage dans l'UE (par exemple, une chambre à San Francisco) ;
- Réservation d'un vol vers les États-Unis ;
- Réservation d'une voiture de location aux États-Unis ;
- Commande de marchandises en ligne auprès d'une société basée aux États-Unis ;
- Utilisation de services en ligne fournis par une société basée aux États-Unis (sans établissement dans l'UE) ;
- En envoyant un courrier électronique aux États-Unis ;
- L'envoi de vos données à votre avocat aux États-Unis dans le cadre d'un procès ;
- Contacter un ami Facebook qui se trouve aux États-Unis ;
- Appels vidéo vers les États-Unis.