L'Union européenne et les Etats-Unis ont annoncé être parvenus à un "accord de principe" sur un nouveau cadre pour le transfert de données transatlantique. Un tel accord était attendu depuis l'invalidation du Privacy Shield en 2020. Mais aucun détail n'a été donné sur le contenu de ce projet, en sachant qu'il devrait encore prendre de nombreux mois avant de voir le jour.

Un accord de principe voit le jour entre les États-Unis et l’Union européenne concernant le transfert des données à caractère personnel outre-Atlantique. Il a été rendu nécessaire après l’invalidation de Privacy Shield en juillet 2020 par la Cour de Justice de l’UE (CJUE). Tour d'horizon des enjeux et retour sur les épisodes de cette série à rebondissements.

L’utilisation de Google Analytics viole le droit européen, juge l’autorité autrichienne de protection des données. L’autorité autrichienne de protection des données a décidé que l’utilisation de Google Analytics violait le règlement général sur la protection des données (RGPD). D’autres États membres de l’UE pourraient lui emboîter le pas, car les régulateurs coopèrent étroitement au sein d’une cellule spéciale du Comité européen de la protection des données.

Longtemps accueillis à bras ouverts dans les facs, les Gafam – Google en tête – font face en cette rentrée à une opposition inédite. Pressés par la Cnil, les établissements et le ministère de l’enseignement supérieur cherchent des solutions de remplacement.

La Cour européenne des droits de l’homme a jugé illégale la surveillance de masse pratiquée par le Royaume-Uni avec l’aide des États-Unis qu’Edward Snowden avait révélée. Mais elle en valide le principe, une position soutenue dans un mémoire transmis par la France en défense de la surveillance de masse.

Après l'invalidation du traité Privacy Shield entre l'Europe et les Etats-Unis, les CNIL européennes recommandent le chiffrement des données exportées à l'étranger, compliquant la vie des entreprises qui ne savent plus sur quel pied danser.

Nouvelle conséquence de l’arrêt Schrems II sur l’invalidation du Privacy Shield. Comme l’a révélé Médiapart, la CNIL recommande chaudement que le Health Data Hub soit à bref délai géré par un acteur non soumis au droit américain. Une gifle pour Microsoft, société prise en tenaille entre les lois de surveillance américaines et le RGPD.

A la suite de l'injonction émise par la Cnil irlandaise qui s'appuie sur l'invalidation du Privacy Shield, Facebook menace de fermer son réseau social ainsi qu'Instagram en Europe. Qui de l'entreprise américaine ou de l'Union européenne pliera en premier ? Car l'issue de ce bras de fer aura des conséquences bien au-delà des activités de Facebook. Toutes les entreprises européennes transférant des données outre-Atlantique sont concernées.

Une décision qui constitue une véritable menace pour les GAFA sur le marché numérique européen. Il s'agit de la première décision européenne qui suit l'invalidation du Privacy Shield en juillet dernier.

Noyb.eu dépose 101 recours auprès des autorités de contrôle. Ils visent autant d’entreprises et organismes installés en UE et dans l’Espace économique européen. En cause ? La transmission de données à Google et Facebook aux États-Unis, en contrariété avec le RGPD et une décision récente de la Cour de justice européenne.

C’est un nouveau coup de tonnerre qui a résonné dans le ciel européen ce 16 juillet. Un arrêt de la grande chambre de la Cour de justice de l’Union européenne est venu invalider le « bouclier de vie privée » ou Privacy Shield. Un bouclier de fer qui n’était que de papier. Retour sur cette décision fondamentale.

Après avoir annulé le safe harbour, la Cour remet le couvert : elle annule le privacy shield qui a pris le relais du premier nommé. C’est toujours le droit américain qui pose problème : il ne protège pas suffisamment les données une fois qu’elles ont été transférées aux USA. En revanche, elle valide les clauses types.

Ce dispositif adopté en 2016 est utilisé par la quasi-totalité des grandes entreprises américaines pour traiter les données personnelles (identité, comportement en ligne, géolocalisation…) de leurs utilisateurs européens.

Second coup de tonnerre européen en deux jours : la CJUE vient d’annuler le Privacy Shield. Elle valide par contre les clauses types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers.

Les eurodéputés ont adopté hier en plénière une résolution portée par Claure Moraes. Elle demande la suspension du Privacy Shield, si les États-Unis ne se mettent pas en conformité avec le droit de l'Union. Cet accord signé avec la Commission européenne est destiné à sécuriser le transfert et l’exploitation des données personnelles outre-Atlantique.

Selon les informations de Next INpact, le gouvernement français est intervenu dans la procédure initiée contre le Privacy Shield afin de défendre le transfert de données personnelles vers les États-Unis. Paris a profité de la fenêtre pour plaider en faveur de leur conservation généralisée dans les mains des intermédiaires.

Adopté malgré les critiques, l'accord transatlantique encadrant le transfert des données personnelles des internautes européens vers les États-Unis fait l'objet chaque année d'un examen côté européen. Celui-ci a eu lieu et il est jugé satisfaisant par la Commission européenne.

"Reuters affirme que l’entreprise californienne, ex–star de l’Internet, a donné l’ensemble des e-mails de ses clients en 2015 au FBI et à la NSA. Cette pratique a conduit à de nombreux départs dont le directeur de la sécurité de l’entreprise."

"Yahoo aurait mis en place l’année dernière un logiciel spécifique lui permettant de rechercher dans des centaines de millions d’emails des séquences de caractères. Une « révélation » qui survient alors que l’éditeur fait toujours face aux récentes révélations sur l’ampleur de sa fuite de données."

"Yahoo! a conçu et mis en place en 2015 un programme informatique pour surveiller en temps réel les boîtes e-mail de tous ses utilisateurs, afin d’y détecter des mots-clés : c’est ce qu’affirme une enquête de l’agence Reuters, s’appuyant sur les témoignages de deux anciens employés. Selon Reuters, ce programme a été conçu pour répondre à une directive américaine, restée secrète, qui pourrait émaner d’une demande de la NSA (les services de renseignement) ou du FBI (la police fédérale)."