Les entreprises respectent-elles vraiment l’annulation du Privacy Shield ?

Un rapport de NOYB (None of your business), ONG de Max Schrems, sur la conformité du transfert des données US-EU des géants du web après l’arrêt de la CJUE nous laisse sans voix.

Après l’arrêt Schrems II, le Privacy Shield avait été invalidé et des restrictions sur l’utilisation des clauses contractuelles types avaient été mises en place. L’équipe de NOYB a posé aux responsables de la protection de la vie privée de 33 entreprises (y compris les GAFAM) des questions élémentaires sur leurs transferts de données, telles que les pays vers lesquels les données des clients sont envoyées et la base juridique sur laquelle les entreprises s’appuient.

Les réponses se sont avérées étonnantes. Peu d’entreprises ont donné des explications détaillées, et certaines ont même admis qu’elles n’avaient aucune idée des conséquences de l’arrêt Schrems II et ont même contesté ces normes.

Lorsque Netflix, Airbnb et Whatsapp ont été interrogés, ils n’ont pas donné de réponse et d’autres ont indiqué aux chercheurs de consulter leur politique de confidentialité.

Microsoft était la seule entreprise à répondre à toutes les questions. Toutefois, elle a également déclaré toujours s’appuyer sur des clauses contractuelles types et avoir fourni des données au gouvernement américain dans le cadre de la norme FISA702 (qui autorise l’usage de programmes de surveillance par l’Agence Nationale de la Sécurité américaine et le FBI).

Après l’arrêt de la CJUE, toutes les entreprises auraient dû choisir d’autres solutions pour transférer des données de l’UE vers l’États-Unis. En effet, NOYB avait révélé en août dernier comment les données des utilisateurs européens sont toujours transférées aux États-Unis avec Google Analytics et Facebook Connect.

Pour en savoir plus, voici le lien au rapport de NOYB.