Un activiste autrichien dépose plainte contre 101 sites web, dont six français. Il est reproché aux sociétés de continuer à envoyer des informations aux USA via Google et Facebook.

Il y a un mois, via Max Schrems et la fondation Noyb [Centre européen pour les droits numériques], le traité sur les données personnelles entre les Etats-Unis et l’Union Européenne, le Privacy Shield, était balayé d’un revers de la main par la Cour de Justice européenne (CJUE) en raison du trop grand manque de sécurité concernant les données transférées aux USA.

La loi américaine indiquant la possibilité pour les autorités locales la consultation des dites informations… et les exploiter le cas échéant. Bilan, le Règlement Général de la Protection des Données interdit aux entreprises européennes de transférer les données d’européens dans des pays qui ne respectent pas le RGPD.

L’activiste autrichien, Max Schrems et Noyb, viennent de « re »taper dans la fourmilière médiatique en considérant qu’un mois aprés cette décision, de nombreuses sociétés n’avaient encore rien fait pour éviter que des données d’européens ne finissent aux USA.

Via sa fondation, Schrems attaque en justice 101 sites web, dont six Français. Dans la liste hexagonale, Le Huffington Post, Leroy Merlin, Decathlon, Free Mobile, Auchan ou encore Sephora. Les sociétés sont montrées du doigt en raison du fait qu’elles communiquent, indirectement via Google et Facebook, des données de leurs clients.

Etant donné que la CJUE a invalidé la décision « EU-US Privacy Shield » dans l’affaire C-311/18 (« Schrems II », ci-après « l’arrêt »), le responsable du traitement ne peut plus fonder le transfert de
données aux États-Unis sur une décision d’adéquation au titre de l’article 45 du RGPD. « Néanmoins, le responsable du traitement et Google ont continué à se fonder sur le « Privacy Shield UE-USA » invalidé pendant près de quatre semaines après l’arrêt, comme en témoigne le point 10.2. des Conditions de traitement des données Google Ads. » explique l’une des plaintes envoyées à la CNIL pour les six cas Français.

Du HTML au tribunal !

La décision s’est faite aprés une analyse rapide du code source HTML des principales pages Web de l’UE. cette analyse aurait démontré que de nombreuses entreprises utilisent encore Google Analytics ou Facebook Connect un mois après l’arrêt majeur de la Cour de justice de l’Union européenne (CJUE).

101 plaintes déposées, concernant des entreprises dans 30 États membres de l’UE et de l’EEE. Des plaintes ont été déposées dans les 30 États membres de l’UE et de l’EEE contre 101 entreprises européennes qui continuent de transmettre des données sur chaque visiteur à Google et Facebook. Les plaintes sont également déposées contre Google et Facebook aux États-Unis, pour avoir continué d’accepter ces transferts de données, alors qu’ils enfreignent le RGPD. Les sites Web ont été choisis en fonction du TLD de l’État membre (comme « .fr » pour la France).

D’autres poursuites judiciaires sont prévues. Noyb prévoit d’augmenter progressivement la pression sur les entreprises européennes et américaines pour qu’elles revoient leurs modalités de transfert de données et s’adaptent à la décision claire de la Cour suprême de l’UE. « Bien que nous comprenions que certaines choses peuvent avoir besoin d’un certain temps pour se réorganiser, il est inacceptable que certains joueurs semblent simplement ignorer le plus haut court de l’Europe, indique Schrems. Ceci est également injuste envers les concurrents qui respectent ces règles. Nous prendrons progressivement des mesures contre les contrôleurs et sous-traitants qui enfreignent le RGPD et contre les autorités qui n’appliquent pas la décision de la Cour, comme le DPC irlandais qui reste en sommeil.«

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.