Recevez chaque jour toute l'actualité du numérique

x

Amazon, Microsoft, Netflix… Comment les entreprises appliquent-elles l'annulation du Privacy Shield ?

L'association Noyb, spécialisée dans les droits numériques, a interrogé 33 entreprises – dont Microsoft, Apple, Nike, Netflix… – sur l'annulation du Privacy Shield, décidée par le juge européen cet été. Certaines n'ont jamais répondu tandis que d'autres ont simplement renvoyé vers leur politique de confidentialité. Seules quelques-unes ont apporté une réponse un peu plus fournie.
Twitter Facebook Linkedin Flipboard Email
×

Amazon, Microsoft, Netflix… Comment les entreprises appliquent-elles l'annulation du Privacy Shield ?
Amazon, Microsoft, Netflix… Comment les entreprises appliquent-elles l'annulation du Privacy Shield ? © CJUE (Twitter)

L'association de protection des droits numériques None of your business (Noyb) a contacté 33 entreprises pour leur demander comment elles abordaient les transferts de données, suite à la décision européenne qui a invalidé le Privacy Shield.

Apple, Nike, Asos… ont été interrogés
Un rapport de 45 pages a été publié pour présenter les réponses apportées par les sociétés contactées entre le 27 juillet et le 24 septembre. Dans cette liste, sont présentes les grandes entreprises technologiques américaines : Apple, Amazon, Google, Microsoft et Facebook; des organismes de services financiers tels que Revolut, Coinbase, Mastercard et des retailers, Asos, Nike, Mango...

"Les réponses allaient d'explications détaillées, à des aveux que ces entreprises n'avaient aucune idée de ce qui se passait, à des dénégations scandaleusement agressives de la loi", résume Max Schrems, président d'honneur de Noyb, à l'origine du contentieux avec Facebook devant le juge européen.

Un renvoi vers la politique de confidentialité
Airbnb, Netflix et WhatsApp n'ont jamais répondu aux sollicitations de l'association. De nombreuses entreprises ont renvoyé vers leur politique de confidentialité, telles que Blizzard, Coinbase, Instagram, Revolut, Under Armour…"Au lieu de fournir les informations requises par le RGPD, de nombreuses entreprises ont simplement esquivé les questions en se référant à la politique de confidentialité qui ne contient pas les informations ou tout simplement en ne répondant pas du tout aux questions", note Max Schrems.

De son côté, Slack a déclaré ne pas donner "volontairement" aux gouvernements un accès aux données. Ce qui ne répond à la question de savoir si l'entreprise éditrice du logiciel de discussion de groupe éponyme est obligée de le faire en vertu des lois américains sur le renseignement, indique l'association.

Microsoft affirme qu'il peut toujours transférer des données
Noyb ajoute que certaines sociétés ont été plus précises, à l'instar de Microsoft qui affirme qu'il peut toujours transférer des données personnelles vers les Etats-Unis en vertu des clauses contractuelles types. Une réponse similaire a également été donnée à L'Usine Digitale lors d'une interview avec Charles Calestroupat, nouveau directeur de l’entité Secteur public de Microsoft.

Pour conclure, Max Schrems remarque que "la plupart des acteurs du secteur n'ont toujours pas de plan pour aller de l'avant". Notons à cet égard que le manque de clarté sur les conséquences juridiques exactes de la décision européenne n'aide pas les entreprises à se positionner.


Les entreprises en quête de clarté juridique
Certains affirment que le juge a invalidé le Privacy Shield et les clauses contractuelles types,comme la Cnil irlandaise, qui demande à Facebook d'arrêter de transférer les données des utilisateurs européens outre-Atlantique. "Tous les transferts de données personnelles entre l'Union européenne et les Etats-Unis sont illégaux jusqu'à ce qu'une nouvelle décision d'adéquation soit adoptée ou que de nouvelles clauses contractuelles types soient proposées par la Commission européenne", tranchait Jean-Luc Sauron, haut fonctionnaire, professeur à l'Université Paris-Dauphine et responsable du diplôme d'université Délégué à la protection des données.

Au contraire, d'autres estiment que les clauses contractuelles types sont toujours utilisables et recommandent simplement d'y introduire davantage de garanties.

Tous attendent des directives claires de la part du Comité européen de la protection des données, l'équivalent de la Cnil européenne. Contacté par L'Usine Digitale, le CEPD nous a renvoyé vers sa foire aux questions dont les réponses demeurent floues. "Pour le moment, nous ne sommes pas en mesure de fournir d'autres commentaire", a-t-il également déclaré.

Négocié entre 2015 et 2016, cet accord passé entre l'Union européenne et les Etats-Unis autorisait les entreprises européennes à transférer des données personnelles en outre-Atlantique, en reconnaissant que la législation américaine offrait les mêmes garanties que le droit européen.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media