Noyb, une ONG de défense numérique dépose 101 recours contre autant d’entreprises européennes pour des transferts de données vers Facebook et Google aux Etats-Unis. Elle juge cela contraire au RGPD et à une décision le mois dernier de la Cour de justice européenne. Free Mobile est dans le viseur.
La justice européenne a retoqué courant juillet le Privacy Shield, un accord autorisant les entreprises à transférer des données personnelles européennes vers les USA. La raison, les programmes de surveillance américains ont été jugé incompatibles avec les principes du Règlement général sur la protection des données (RGPD), ces derniers permettent au gouvernement américain d’avoir accès massivement aux données traitées par les entreprises, comme Facebook et Google. Un risque de non-conformité au RGPD pèsent alors depuis sur les entreprises européennes clientes des géants américains, la base légale étant invalidée. En l’absence de cadre juridique et alors que des discussions ont lieu entre l’Europe et les USA en vue d’un nouvel accord gommant les irrégularités constatées, les autorités européennes de contrôles des données, dont la CNIL, ont aujourd’hui la possibilité de suspendre voire d’interdire le transfert de données.
Un mois après la décision de la Cour de justice de l’Union Européenne, None of Your Business (Noyb), fondée par l’activiste Maximilien Schrems, assure que des transferts de données illégaux vers les États-Unis se poursuivent. En conséquence, l’association a déposé des plaintes auprès des autorités de contrôle concernant 101 entreprises de 30 États membres de l’UE et de l’EEE dont 6 françaises, à savoir, Le Huffington Post, Leroy Merlin, Decathlon France, Auchan e-Commerce, Sephora et Free Mobile. Noyb demande ainsi à la CNIL d’enquêter, conformément sur les données transférées.
Plus concrètement, après une analyse rapide du code source HTML des principales pages web de l’UE, l’association a observé que de nombreuses entreprises utilisent toujours Google Analytics ou Facebook Connect.
“Ces extraits de code transmettent des données sur chaque visiteur à Google ou Facebook. Les deux sociétés admettent qu’elles transfèrent des données d’Européens vers les États-Unis pour traitement, où elles sont légalement tenues de mettre ces données à la disposition d’agences américaines comme la NSA. Ni Google Analytics ni Facebook Connect ne sont indispensables pour faire fonctionner ces pages web et sont des services qui auraient pu être remplacés ou du moins désactivés à l’heure actuelle”, déplore Max Schrems, président de Noyb.eu.
Free Mobile visé pour son utilisation de Facebook Connect
S’agissant de Free Mobile, l’association a visité le site web “http://mobile.free.fr/” tout en étant connecté à un compte Facebook associé à une adresse électronique. Selon Noyb, Free Mobile a intégré sur son site le code HTML des services Facebook (y compris Facebook Connect, service utilisé par des sites web tiers, déclenchant le flux de données personnelles de l’utilisateur entre le site web et Facebook.)
Au cours de sa visite, Noyb s’est aperçu que Free Mobile a traité ses données personnelles, au moins l’adresse IP et des cookies. “Il apparaît qu’au moins certaines de ces données ont été transférées à Facebook Inc aux USA”, soutient elle. Néanmoins, l’organisation à but non lucratif indique dans sa plainte adressée à la CNIL, ne pas avoir les moyens techniques d’établir si ce transfert de données a eu lieu directement entre Free Mobile et Facebook Inc. ou via Facebook Ireland en tant qu'”intermédiaire”.
A noter que les plaintes sont également déposées contre Google et Facebook aux Etats-Unis, pour avoir continué à accepter ces transferts de données, alors qu’ils sont en violation de la GDPR et implantés en Europe.
D’autres actions en justice sont prévues. Noyb prévoit d’augmenter progressivement “la pression sur les entreprises européennes et américaines pour qu’elles revoient leurs modalités de transfert de données et s’adaptent à la décision claire de la Cour suprême de l’UE”, conclut-elle.
Source : Next Inpact, Noyb