L’association NYOB a déposé 101 recours auprès de diverses autorités de protection des données à caractère personnel visant plusieurs entreprises pour transfert illégal de données – par Philippe Zanon et Sylvain Staub
L’association NOYB (None of Your Business) fondée par Maximilian Schrems a déposé 101 recours visant plusieurs entreprises pour transfert illégal de données à Google et Facebook aux Etats-Unis, sur le fondement du RGPD et de la récente décision « Schrems II » invalidant le Privacy Shield.
Parmi les 101 plaintes, 6 concernent des entreprises françaises pour leurs relations avec Google et Facebook : Huffington Post, Décathlon SA, Sephora SAS, Auchan e-commerce, Leroy Merlin et Free.
Dans son communiqué, NOYB estime que les transferts de données de ces entreprises vers des sociétés établies dans des pays tiers ne peuvent se poursuivre par le biais des clauses contractuelles types de 2010 issues de la décision 2010/87/UE du 05 Février 2010, en ce qu’elles ne sont pas applicables dans le cadre d’un transfert de données vers des destinataires américains assujetties à des « lois de surveillance de masse ».
Rappelons que la CJUE a invalidé le Privacy Shield dans sa décision « EU-US Privacy Shield », en considérant que les lois de surveillance américaines (l’article 702 du FISA Amendments Acts de 2008 et le décret-loi 12.333) autorisaient de façon permissive aux autorités de sécurité tel que la NSA d’accéder aux données personnelles collectées par Google et Facebook. Cette « intrusion », n’était par ailleurs accompagnée d’aucune garanties suffisantes au regard du RGPD. Toutefois, la Cour a validé les clauses contractuelles types de 2010 sous réserve de de disposer de « mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté ». Enfin, elle a ajouté qu’un responsable de traitement doit informer les personnes concernées par le transfert de données lorsqu’il est dans l’incapacité de se conformer aux obligations du contrat sur le respect du RGPD, même si ce dernier se repose sur les clauses contractuelles types.
Par son interprétation de l’affaire « Schrems II », NOYB considère que « le responsable du traitement ne peut pas fonder le transfert de données sur les clauses contractuelles types de protection des données […] si le pays tiers de destination n’assure pas une protection adéquate, en vertu du droit de l’UE, des données à caractère personnel transférées en application de ces clauses ». En outre, NOYB démontre à travers ses différentes plaintes que Facebook et Google s’appuient toujours sur le Privacy Shield dans leurs conditions générales de traitement de données.
Ainsi, Maximilian Schrems et son association demandent aux différentes autorités de contrôle saisies de procéder à diverses enquêtes pour déterminer la nature des données transférées ainsi que la licéité des conditions générales de traitement de données de Google et Facebook à l’aune de la décision de la CJUE. Enfin l’association souhaite que les 101 entreprises ainsi que les deux réseaux sociaux soient sanctionnées par une amende accompagnée d’une interdiction ou suspension des transferts de données vers les Etats-Unis. NOYB prévoit à la suite de ses plaintes « d’augmenter progressivement la pression sur les entreprises européennes et américaines pour qu’elles revoient leurs accords de transfert de données et s’adaptent à la décision claire de la Cour suprême de l’UE ».