Recevez chaque jour toute l'actualité du numérique

x

Une association porte plainte contre Amazon pour transfert illégal de données personnelles

L'association 0D, basée à Quimper dans le Finistère, a déposé une plainte contre Amazon Europe pour la mauvaise gestion des données personnelles de ses clients. Elle estime notamment que l'entreprise transfère des données illégalement vers les Etats-Unis. 
Twitter Facebook Linkedin Flipboard Email
×

Une association porte plainte contre Amazon pour transfert illégal de données personnelles
Une association porte plainte contre Amazon pour transfert illégal de données personnelles © Glassdoor

L'association bretonne 0D, qui se consacre à la protection des données personnelle, a déposé une plainte contre Amazon Europe devant la Procureure de Quimper (Finistère), apprend-on dans un communiqué publié le 10 novembre 2021. Elle reproche à l'entreprise américaine de violer plusieurs articles du code pénal faisant référence à la sécurité, à la collecte et au transfert de données personnelles hors de l'Union européenne. 

Un transfert illégal vers les Etats-Unis
Contactée par L'Usine Digitale, 0D cite en particulier une décision rendue par l'autorité portugaise de protection des données - l'équivalent de la Commission nationale de l'informatique et des libertés (Cnil) - qui a déclaré illégaux les transferts de données de l'Institut National de la Statistique vers les Etats-Unis. "L’usage de clauses contractuelles types n’exempte pas la mise en place de mesures complémentaires pour atteindre un niveau de protection des données équivalent dans les pays tiers à celui garanti par le droit de l'UE", détaille l'association. Or, Amazon, en tant qu'entreprise américaine opérant au sein de l'UE, transfère également des données personnelles vers les Etats-Unis, ajoute-t-elle.

Pour comprendre les accusations de 0D, il faut revenir quelques mois en arrière. En juillet 2020, la Cour de justice de l'Union européenne a invalidé le Privacy Shield. Ce texte simplifiait les transferts de données personnelles vers les Etats-Unis en reconnaissant que la législation américaine offrait les mêmes garanties que le Règlement général sur la protection des données (RGPD). C'est la faculté pour les autorités américaines d'accéder aux données des citoyens européens si celles-ci sont hébergées par un fournisseur de cloud américain qui est au coeur du litige. 

L'alternative au Privacy Shield est la conclusion de clauses contractuelles types entre les deux parties souhaitant transférer des données. Ce sont des modèles de contrat de transfert adoptés par la Commission européenne ayant pour objectif de faciliter la tâche des responsables de traitement. Le Comité européen de la protection des données (CEPD) a émis une série de recommandations pour sécuriser les flux de données outre-Atlantique. Ainsi, est considéré comme autorisé le stockage de données dans un pays tiers où il n'y a pas d'accès aux données cryptées et où les clés de chiffrement sont détenues par l'exportateur des données ou par une entité de confiance au sein de l'UE. 

Le choix d'AWS par Doctolib devant la justice
Ce n'est pas la première fois qu'Amazon est impliqué dans une affaire liée aux transferts de données personnelles. Des associations et des syndicats avaient déposé en mars 2021 une requête devant le Conseil d'Etat pour obtenir l'annulation du partenariat liant l'Etat à Doctolib dans le cadre de la prise de rendez-vous pour la vaccination contre le Covid-19. Ils estimaient que les données médicales liées à la campagne de vaccination n'étaient pas suffisamment protégées puisqu'elles sont hébergées par Amazon Web Services (AWS). 

Ces prétentions ont été rejetées par le Conseil d'Etat qui a estimé que les données étaient suffisamment protégées grâce à un avenant au contrat d'hébergement permettant de lutter contre la mainmise des autorités américaines sur les informations des patients français.

Amazon n'est évidemment pas la seule société concernée par cette problématique. Le choix de Microsoft pour héberger les données du Health Data Hub est remis en cause pour des raisons similaires. Contrairement à Doctolib et AWS, la réponse est beaucoup moins claire, au point que le gouvernement a promis de rompre le contrat avec Microsoft et de sélectionner un nouvel hébergeur français ou européen. 

DES CONTRAINTES TROP LOURDES POUR LES ENTREPRISES FRANÇAISES
Si la Procureure de Quimper décide d'engager des poursuites, l'issue du litige pourra donc peut être clarifier le devenir des transferts de données personnelles vers les Etats-Unis. C'est également ce que réclament certaines entreprises françaises. Elles estiment que les garanties désormais exigées impliquent de trop "lourdes contraintes juridiques et techniques (analyse des lois locales et chiffrement systématique des données) qui ne tiennent absolument pas compte des réalités économiques". La seule solution reste donc l'adoption d'un nouveau Privacy Shield, qui semble pour l'instant impossible car Bruxelles attend de Washington une modification profonde de l'arsenal juridique sur la surveillance. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.