Un mois après l’annulation de l’accord Privacy Shield par la Cour de justice de l’Union européenne (CJUE), un accord qui réglementait le transfert des données de l’Europe vers les États-Unis, l’association noyb (none of your business) vient de déposer 101 plaintes contre des entreprises qui ne respectent toujours pas l’interdiction. Le site noyb.eu, créé par Max Schrems, avocat et activiste de la défense de la vie privée, accuse ces entreprises de continuer à utiliser Google Analytics et Facebook Connect, qui transfèrent les données récoltées sur les internautes européens vers les centres de données situés sur le territoire US.
Les limiers de noyb.eu (https://noyb.eu/fr pour la version en Français) ont analysé le code source HTML des sites s’adressant aux citoyens dans l’UE et relevé les contrevenants. « Nous avons fait une recherche rapide sur les principaux sites web de chaque État membre de l’UE pour trouver le code de Facebook et Google. Ces extraits de code transmettent des données sur chaque visiteur à Google ou Facebook. Les deux sociétés admettent qu’elles transfèrent des données d’Européens vers les États-Unis pour traitement, où elles sont légalement tenues de mettre ces données à la disposition d’agences américaines comme la NSA. Ni Google Analytics ni Facebook Connect ne sont essentiels pour faire fonctionner ces pages web et sont des services qui auraient pu être remplacés ou du moins désactivés à l’heure actuelle », a déclaré Max Schrems, président honoraire de noyb.eu.
Six sites en .fr sont incriminées
« Ni Facebook ni Google ne semblent avoir de base juridique pour les transferts de données », estime le document publié sur le site web de noyb. Les plaintes ont été déposées dans les 30 États membres de l’UE et de l’EEE (Espace économique européen qui regroupe 30 états) contre des entreprises européennes qui transmettent encore des données sur chaque visiteur à Google et Facebook. Les plaintes sont également déposées contre Google et Facebook aux États-Unis, qui continuent d’accepter ces transferts de données, bien qu’ils soient en violation avec le règlement européen sur la protection de la vie privée, le RGPD.
Parmi les 101 sites européens incriminés, six s’adressent aux internautes français : Le Huffington Post (huffingtonpost.fr), Leroy Merlin (leroymerlin.fr), Decathlon France SA (decathlon.fr), Free Mobile (mobile.free.fr), Auchan E-commerce France (auchan.fr) et Sephora SAS (sephora.fr. Les plaintes ont été déposées auprès de la CNIL en France et des régulateurs dans les autres pays. Au-delà de ces actions auprès des régulateurs, noyb.eu prévoit d’augmenter progressivement la pression sur les entreprises européennes et américaines pour qu’elles revoient leurs modalités de transfert de données et s’adaptent à la décision de la Cour suprême de l’UE.