Protection des données : une centaine de sites accusés de transférer illégalement des données d’utilisateurs européens vers les Etats-Unis

Saviez-vous que lorsque vous vous rendez sur le site de bpost, de logic-immo.be ou encore de Flair, certaines de vos données sont transférées vers Google et Facebook ? C’est en tout cas ce qu’affirme l’activiste autrichien Maximilian 'Max' Schrems, via un communiqué de sa fondation noyb. Selon lui, 101 entreprises d’une trentaine de pays de l’UE et de l’Espace économique européen (EEE) continueraient à faire passer des données vers les géants américains, malgré l’interdiction et un mois après que la Cour de Justice européenne a invalidé le Privacy Shield qui tolérait ces échanges.

Le Privacy Shield, qu’est-ce que c’est ?

Ce "bouclier de protection" des données UE-Etats-Unis, négocié en 2015-2016 entre les deux puissances, accordait le droit de transférer des données d’utilisateurs, à certaines conditions. Il fallait pour cela que les politiques de protection des données soient en adéquation dans les deux zones, et conformes au RGPD (règlement général de protection des données). Entériné le 12 juillet 2016 par la Commission européenne, elle avait fait l’objet d’un recours par plusieurs associations françaises, dont la Quadrature du Net, qui estimaient qu’elle donnait trop de pouvoir aux autorités américaines dans la collecte de données, et ne permettaient pas aux citoyens européens d’avoir leur mot à dire. Quatre ans plus tard, le 16 juillet dernier, la cour de Justice européenne cassait donc l’accord.


►►► À lire aussi : Proximus écope de 20.000 euros d’amende pour ne pas avoir effacé des données personnelles


Pourtant, selon Max Schrems, une centaine de sites continuent donc à transférer des données personnelles. "Nous avons fait une petite recherche sur les sites majeurs de chaque pays membre de l’Union pour trouver un code de Facebook et de Google", affirme l’activiste, relayé par noyb. Ces bouts de codes transmettent les données de chaque visiteur à Facebook et Google. "Ce transfert se fait par le biais de deux relais, Google Analytics et Facebook Connect, qui ne sont pas 'essentiels pour faire tourner ces pages web'", note Max Schrems, qui demande leur remplacement, voire leur désactivation.

Facebook se réfère à des clauses contractuelles

Face à ces accusations, les deux géants se défendent : selon noyb, Google dit appliquer le Privacy Shield (bien que nul et non avenu depuis un mois), tandis que Facebook évoque les clauses standards contractuelles (SCC), une clause du RGPD qui permet, selon la Commission européenne, de transférer légalement des données, à condition d’offrir une protection équivalente aux Etats-Unis. "En tant qu’entreprise mondiale, Facebook opère à l’intérieur et à l’extérieur de l’EEE et de temps en temps nous sommes amenés à transférer vos données vers un territoire qui n’a pas les mêmes niveaux de protection", se justifie l’entreprise sur son site.

Oui mais voilà : selon Max Schrems, ça ne tient pas. "La Cour a été explicite sur le fait que vous ne pouvez pas utiliser les SCC lorsque le destinataire aux Etats-Unis est soumis à des lois de surveillance massive [notamment mises en place par la NSA, comme l’ont révélé plusieurs lanceurs d’alerte depuis 2010, ndlr]", précise-t-il dans le communiqué. Pour l’Autrichien, cette situation est "plus que fumeuse" : "Les entreprises devraient plutôt informer les utilisateurs européens de ces lois et les avertir. Si ce n’est pas fait, elles sont responsables des dégâts causés."


►►► À lire aussi : L’application TikTok respecte-t-elle vos données ? Le gendarme des données français enquête


Noyb annonce dans son communiqué que des actions en justice vont être menées. "Nous comprenons que les choses mettent du temps à changer, mais il est inacceptable que certains ignorent purement et simplement les décisions de la plus haute cour d’Europe", déclare Max Schrems. Il indique vouloir prendre "graduellement des mesures" contre ceux qui violent le RGPD, ainsi que contre les autorités qu’il juge laxistes ou "endormies", comme la commission de protection des données d’Irlande.

Newsletter info

Recevez chaque matin l’essentiel de l'actualité.

OK