Link list
Facebook, Instagram et les autres services du groupe Meta vont-ils être interdits en Europe ? La question se pose après la mesure prise par l'Irlande, qui a décidé de bloquer le transfert de données personnelles vers les États-Unis.
Meta connaît décidément bien des déboires ces derniers temps. Alors que ses plateformes font face à une concurrence de la part de TikTok et que les scandales à propos de sa gestion des données personnelles s'enchaînent, l'Irlande vient de prendre une décision lourde de conséquences. En effet, quelques mois seulement après avoir infligé une amende de 17 millions d'euros au réseau social, le régulateur irlandais a décidé ce jeudi 7 juin le blocage du transfert de données des résidents européens vers les États-Unis, y compris pour le groupe Meta, qui possède Facebook, Instagram, Messenger et WhatsApp. Il demande aux autres pays de l'Union européenne d'en faire de même. S'ils ne s'expriment pas dans les semaines à venir, nous pourrons dire au revoir à nos chers réseaux sociaux.
L'Irlande se base pour prendre cette décision sur le règlement général sur la protection des données (RGPD) de l'Union européenne, qui interdit le transfert de données personnelles des ressortissants de l'Union européenne vers des pays tiers si leur niveau de protection n'est pas équivalent à celui de l'UE. Or ce n'est pas le cas des États-Unis, dont les dispositifs Safe Harbor et Privacy Shield autorisaient les autorités publiques américaines à y avoir accès. Ces accords ont été invalidés par la Cour de justice de l'Union européenne (CJUE), qui a estimé que les programmes de surveillance des agences de renseignements américaines font peser une menace sur les informations personnelles des Européens stockées dans des serveurs aux États-Unis. De ce fait, toutes les institutions européennes de protection des données ont un mois pour émettre leur avis sur la question, sans quoi toutes les entreprises américaines utilisant les "clauses contractuelles types" pour transférer les données européennes seront bannies du territoire.
Vers un nouvel accord entre les États-Unis et l'Union européenne ?
En mars déjà, Meta alertait sur les conséquences de ces décisions pour le maintien de ses services dans l'Union européenne : "Si un nouveau cadre de transfert transatlantique de données n'est pas adopté et que nous ne sommes pas en mesure de continuer à compter sur les CCT ou sur d'autres moyens alternatifs de transfert de données de l'Europe vers les États-Unis, nous ne serons probablement pas en mesure d'offrir un certain nombre de nos plus importants produits et services, y compris Facebook et Instagram, en Europe", déclarait l'entreprise dans un dossier déposé auprès de la Securities and Exchange Commission des États-Unis.
C'est un bras de fer qui s'engage entre les États-Unis et l'Union européenne. Mais pas de panique pour autant, puisque les deux puissances sont en train de négocier un nouveau texte visant à encadrer le transfert des données entre eux, y compris en Irlande. Un accord préliminaire a été conclu, bien que les partis bloquent sur les détails juridiques. Dans tous les cas, il est fort peu probable que les États-Unis laissent de grandes entreprises comme Meta se priver du marché européen, car cela porterait un coup très dur à leur économie. Meta a d'ailleurs déclaré à Politico que "nous nous félicitons de l'accord entre l'UE et les États-Unis pour poser un nouveau cadre juridique qui permettra le transfert continu de données à travers les frontières. Nous espérons que ce cadre nous permettra de garder les familles, les communautés et les économies connectées."
Un nouvel accord pourrait être bénéfique pour l'Europe, surtout après les différents scandales qui ont éclaboussé Meta. Pour rappel, l'affaire Cambridge Analytica avait mis en avant la fuite des données personnelles de 87 millions d'utilisateurs Facebook que la société Cambridge Analytica avait commencé à exploiter début 2014. Ces informations ont notamment servi à influencer les intentions de vote en faveur d'hommes politiques. Plus récemment, des hôpitaux auraient envoyé des informations privées sur leurs patients à Facebook, partageant potentiellement des informations de santé avec le réseau social par le biais d'un traceur publicitaire.
La CNIL[1] a mis en demeure un éditeur pour avoir collecté des données à caractère personnel sur les visiteurs de son site Internet à l’aide du module Google Analytics.
En intégrant ce module Google Analytics à son site Internet, l’éditeur donnait la consigne aux navigateurs de ses visiteurs d’envoyer des informations à Google. Ces informations contenaient notamment l’adresse de la page visitée, l’éventuel page précédemment visitée (« Referer »), l’heure de la visite, l’adresse IP du visiteur et des informations sur son appareil. Ces informations pouvaient aussi contenir l’identifiant unique qui était attribué par Google à l’internaute et stocké dans un cookie et/ou l’identifiant interne que l’éditeur du site avait attribué à l’internaute, si ce dernier était connecté à son espace personnel. Le numéro de commande était aussi présent si la personne avait passé commande sur le site.
Toutes ces informations permettaient à l’éditeur de mesurer l’audience de son site Internet avec précision, mais aussi de détecter d’éventuelles erreurs et de mesurer ou d’optimiser l’efficacité ses campagnes publicitaires.
En premier lieu, la CNIL a considéré que les données collectées par ce module Google Analytics étaient des données à caractère personnel, car elles étaient associées à un identifiant unique et/ou composées de données qui pouvaient permettre d’identifier les visiteurs ou de les différencier de façon significative. La Commission a donc estimé que les exigences du RGPD[2] devaient être respectées.
Ensuite, la CNIL a rappelé que les transferts de données vers un pays n’appartenant pas à l’Union européenne étaient autorisés uniquement si « le niveau de protection des personnes physiques garanti par le [RGPD] n[’est] pas compromis »[3]. Un tel niveau de protection peut être obtenu :
si le pays de destination bénéficie d’une « décision d’adéquation »[4], c’est-à-dire une décision émanant des autorités attestation de la conformité du pays en matière de protection des données ; ou
si l’organisme de destination justifie que les mesures prises et la législation du pays permettent d’assurer un niveau de protection suffisant.Les données issues de Google Analytics sont transférées vers les États-Unis. Ce pays ne bénéficie plus d’une décision d’adéquation depuis l’arrêt[5] « Shrems II » du 16 juillet 2020 de la Cour de justice de l’Union européenne (CJUE) en raison de la surveillance de masse réalisée par les services gouvernementaux américains. Ces programmes de surveillance obligent notamment la société Google à fournir au gouvernement américain les données à caractère personnelle qu’elle possède ou les clés de chiffrement qu’elle utilise.
En l’absence d’une décision d’adéquation, l’éditeur du site et la société Google avaient recourru à des « clauses contractuelles types », c’est-à-dire un rapport détaillé justifiant un niveau de protection suffisant. La CNIL a cependant considéré, comme l’avait déjà fait la CJUE dans son arrêt cité précédemment, qu’un tel document ne permettait pas, à lui seul, d’apporter une protection contre les programmes de surveillance américain, car la société Google ne pouvait pas aller à l’encontre des lois de son pays. Des mesures additionnelles devaient donc être prises par l’éditeur et/ou Google.
Des mesures organisationnelles ont été prises par Google, comme la publication d’un rapport de transparence et la publication d’une politique de gestion des demandes d’accès gouvernementales, mais la Commission a estimé que ces mesures ne permettent pas « concrètement d’empêcher ou de réduire l’accès des services de renseignement américains ».
Des mesures techniques ont aussi été prises par Google, comme la pseudo « anonymisation »[6] des adresses IPs, mais la CNIL a estimé qu’elles « ne sont pas efficaces », car « aucune d’entre elles n’empêche les services de renseignement américain d’accéder aux données en cause ne ne rendent cet accès ineffectif ».
En l’absence d’une protection des données adéquate, la CNIL a, par conséquent, estimé que les transferts effectué par l’éditeur vers les serveurs de Google situés aux États-Unis étaient illégaux.
La CNIL a mis en demeure le site de mettre en conformité les traitements de données associés à Google Analytrics ou, si ce n’est pas possible, de retirer le module Google Analytics.
Concernant le nom de l’éditeur mis en cause, la CNIL a décidé de ne pas rendre public son nom pour des raisons que j’ignore. Il est cependant fort probable que la société soit Decathlon, Auchan ou Sephora étant donné que cette décision est la conséquence de plaintes[7] déposées par l’association militante NOYB[8].
Concernant la décision elle même, même si c’est la première fois que la CNIL prend publiquement position sur Google Analytics, ce n’est ni une surprise, ni une révolution. Depuis l’invalidation de l’accord avec les États-Unis en juillet 2020, tous les acteurs s’intéressant de près à la protection des données savent que les transferts de données vers les USA étaient, au mieux, très douteux. De plus, la CNIL n’est pas la première autorité de protection des données européenne à avoir statué dans ce sens. L’autorité autrichienne avait fait de même[9] trois mois plus tôt.
Cette décision a le mérite de mettre les choses au clair. Les organismes ne peuvent désormais plus prétendre un éventuel flou juridique. Google Analytics doit être retiré.
Notes et références
CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
Le RGPD autorise des transferts de données vers des pays tiers si « le niveau de protection des personnes physiques garanti par le [RGPD] n[’est] pas compromis » (source : RGPD, article 44).
Un transfert de données à caractère vers un pays tiers peut être réalisé si une décision d’adéquation existe pour ce pays (source : RGPD, article 45). Une telle décision existe, par exemple, pour le Royaume-Uni.
La Cour de justice de l’Union européenne (CJUE) invalide le « bouclier de protection des données UE-États-Unis » dans un arrêt du 16 juillet 2020 (source : CJUE, C-311/18, 16 juillet 2020, Shrems II).
La solution Google Analytics propose une option permettant d’« anonymiser » les adresses IP des internautes. Cette opération est toutefois réalisée par Google après que le transfert de données vers les États-Unis ait lieu.
L’association NOYB a déposé des plaintes contre de nombreux organismes suite à des transferts de données personnelles vers les États-Unis jugés illicites. Six entreprises francaises sont concernées. Trois d’entre elles concernent Google Analytics : Decathlon, Auchan et Sephora (source : noyb.eu).
NOYB - European Center for Digital Rights : (noyb.eu).
L’autorité autrichienne a décidé, décembre 2021, que les transferts de données réalisés par Google Analytics étaient illicites (source : noyb.eu, en allemand) (source 2 : gdprhub.eu, en anglais).
L’utilisation de Google Analytics viole le droit européen, juge l’autorité autrichienne de protection des données. L’autorité autrichienne de protection des données a décidé que l’utilisation de Google Analytics violait le règlement général sur la protection des données (RGPD). D’autres États membres de l’UE pourraient lui emboîter le pas, car les régulateurs coopèrent étroitement au sein d’une cellule spéciale du Comité européen de la protection des données.
La décision est fondée sur un certain nombre de plaintes déposées par l’ONG autrichienne noyb à la suite de l’arrêt « Schrems II » de la Cour de justice de l’Union européenne. La CJUE a jugé que l’accord de transfert de données entre les États-Unis et l’Union européenne, le « Privacy Shield », n’était pas conforme à la législation européenne sur la protection des données et a annulé l’accord en 2020, ce qui a rendu illégaux la plupart des transferts de données vers les États-Unis.
Toutefois, Google a partiellement ignoré cette décision. Au cours de la procédure, le géant de la technologie a admis que « toutes les données collectées par Google Analytics […] sont hébergées (c’est-à-dire stockées et traitées ultérieurement) aux États-Unis », ce qui inclut les utilisateurs européens.
Comme de nombreuses entreprises de l’UE utilisent Google Analytics, beaucoup ont transmis leurs données à Google, permettant ainsi que leurs données soient traitées aux États-Unis.
L’autorité autrichienne de protection des données vient de décider que ce comportement constitue une violation de la législation européenne.
« Au lieu d’adapter les services pour qu’ils soient conformes au RGPD, les entreprises américaines ont essayé d’ajouter simplement un texte à leurs politiques de confidentialité et d’ignorer la Cour de justice. De nombreuses entreprises de l’UE ont suivi le mouvement au lieu de se tourner vers des options légales », a déclaré Max Schrems, président honoraire de noyb, dans un communiqué.
« Cela fait maintenant un an et demi que la Cour de justice l’a confirmé une deuxième fois, il est donc plus que temps que la loi soit également appliquée », a ajouté M. Schrems.
La décision des autorités autrichiennes n’est que la première des 101 plaintes que noyb a déposées dans presque tous les pays de l’UE. L’ONG s’attend à ce que « des décisions similaires tombent progressivement dans la plupart des États membres de l’UE », a déclaré M. Schrems.
Mardi, le contrôleur européen de la protection des données a déjà rendu une décision similaire, soulignant que l’utilisation de Google Analytics par le Parlement européen violait le RGPD.
(Oliver Noyan | EURACTIV Allemagne)
La Cnil donne un coup de pied dans la fourmilière : interrogée sur l'emploi d'outils collaboratifs américains, l'autorité administrative française estime qu'il faut s'en passer et opter pour des solutions françaises ou européennes.
Les outils Framasoft plutôt que la suite bureautique de Google Docs pour les élèves qui poursuivent leurs études après le Bac ? Si la Commission nationale de l’informatique et des libertés (Cnil) ne va pas jusqu’à formuler une telle recommandation, le sens de son message est toutefois limpide : il est préférable de délaisser les outils américains pour l’enseignement supérieur et la recherche.
C’est en effet ce qui transparait dans une prise de parole datée du 27 mai 2021. La Cnil répondait alors aux sollicitations de la Conférence des grandes écoles et la Conférence des présidents d’université sur l’évolution du cadre juridique européen et ses effets que cela peut avoir sur les conditions stockage et de circulation des données qui sont produites, collectées et manipulées via ces outils de travail.
Pourquoi la Cnil formule ce conseil ?
Cet appel de la Cnil ne vient pas de nulle part : il tient compte d’une réalité juridique avec l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne, à l’été 2020. Or ce cadre, qui remplaçait le Safe Harbor, un mécanisme similaire qui a aussi été détruit, servait à encadrer le transfert des données des internautes en Europe vers les États-Unis, là où figurent de nombreux services en ligne.
La Cour a considéré qu’il n’existe en fait aucune garantie juridique pour des personnes non américaines pouvant être visées par les programmes de surveillance américains. Or, le Privacy Shield était censé être conforme aux standards européens. En clair, il y a un conflit manifeste entre le droit européen et le droit américain. Dès lors, la légalité de ces transferts est remise en question.
Considérant ce verdict majeur, véritable séisme juridique au niveau européen, mais aussi les documents qui lui ont été transmis, la Cnil relève que « dans certains cas, des transferts de données personnelles vers les États-Unis dans le cadre de l’utilisation des suites collaboratives pour l’éducation » surviennent, et cela pour beaucoup de monde : étudiants, chercheurs, enseignants, personnels administratifs.
Ce n’est pas tout : des informations encore plus critiques peuvent être en jeu, comme des données de santé (qui sont des données sensibles devant bénéficier d’un plus haut degré de protection ), des données particulières (relatives à des mineurs) et des données pouvant impliquer des enjeux stratégiques, dans les secteurs scientifique et économique (données de recherche).
« Il existe donc un risque d’accès par les autorités américaines aux données stockées »
Et dans le cas où les fournisseurs américains de ces outils prennent des mesures pour ne procéder à aucun transfert, de sorte de stocker et traiter les données en Europe ? Là aussi, il y a un problème : le Cloud Act. Ce texte autorise les juridictions à forcer les entreprises aux États-Unis de fournir les données sur leurs serveurs, dans le cadre d’une procédure, y compris les serveurs situés à l’étranger.
« Indépendamment de l’existence de transferts, les législations américaines s’appliquent aux données stockées par les sociétés états-uniennes en dehors de ce territoire. Il existe donc un risque d’accès par les autorités américaines aux données stockées », relève la Cnil. Dès lors, l’engagement de Microsoft en la matière doit être tempéré, même si la société a par le passé combattu ce genre de demande.
Pas de solution, sauf la migration ?
Enfin, si la Cnil admet qu’il faudrait déployer des mesures additionnelles pour poursuivre ces transferts même si le Privacy Shield est tombé, il s’avère que ces dispositions capables « d’assurer un niveau de protection adéquat » ne sont à ce jour pas identifiées. De plus, ajoute la Cnil, jouer la carte des dérogations n’est pas une réponse viable : elles doivent rester des dérogations, c’est-à-dire des exceptions.
Pour cette dernière remarque, la Cnil mentionne les observations du Comité européen de la protection des données, dont elle est membre, et qui raisonnait en citant soit le cas d’un fournisseur de services via le cloud soit le cas d’un sous-traitant qui « dans le cadre de leurs prestations, ont la nécessité d’accéder aux données en clair ou possèdent les clefs de chiffrement. »
Cette situation fait donc dire à la Cnil qu’il « est nécessaire que le risque d’un accès illégal par les autorités américaines à ces données soit écarté ». Mais parce qu’il n’est pas évident de basculer d’un claquement de doigts tout l’écosystème de l’enseignement supérieur et de la recherche, et parce qu’il existe encore une crise sanitaire à cause du coronavirus, la Cnil admet le besoin « d’une période transitoire. »
La Cnil se dit disponible pour « identifier des alternatives possibles ». Des pistes existent du côté des logiciels libres, à l’image de Framasoft ou LibreOffice. Il reste à déterminer quelles décisions seront prises à la suite de l’appel de la Cnil et, si l’offre est au niveau, car la commodité d’emploi, la disponibilité et l’éventail des fonctionnalités l’emportent parfois sur toute autre considération.
Les « conditions juridiques nécessaires » ne « semblent pas réunies » pour confier le mégafichier des données de santé françaises « à une entreprise non soumise exclusivement au droit européen », a estimé vendredi l’Assurance maladie, désignant ainsi implicitement Microsoft. La pilule ne passe toujours pas : saisi une nouvelle fois pour avis, sur le projet de décret devant graver dans le marbre les « modalités de mise en oeuvre » du gigantesque « système national des données de santé », le conseil d’administration de la Caisse nationale d’Assurance maladie (CNAM) ne s’est pas privé d’exprimer ses désaccords.
« Les conditions juridiques nécessaires à la protection de ces données ne semblent pas réunies pour que l’ensemble de la base principale soit mise à disposition d’une entreprise non soumise exclusivement au droit européen (…) indépendamment de garanties contractuelles qui auraient pu être apportées », écrit cette instance dans une délibération adoptée à l’unanimité des membres qui ont pris position. La charge vise évidemment le géant américain Microsoft, choisi sans appel d’offres début 2019 pour héberger le Health Data Hub, gestionnaire désigné de ce fichier agrégeant les données de la Sécu, des hôpitaux ou des soignants libéraux, entre autres.
« Seul un dispositif souverain et uniquement soumis au RGPD (le règlement européen qui garantit aux usagers certains droits sur leurs données, ndlr) permettra de gagner la confiance des assurés », ajoute le conseil d’administration. L’instance juge qu’en attendant cette solution, les données « ne seraient mises à disposition du Health Data Hub qu’au cas par cas », uniquement pour « des recherches nécessaires à la prévention, au traitement et à la prise en charge de la Covid-19 ».