Après l'Autriche, l'autorité française de protection des données, la Commission nationale de l'informatique et des libertés (CNIL), a également rendu un jugement contre Google Analytics. Le transfert de données à caractère personnel vers les États-Unis n'est pas suffisamment réglementé à l'heure actuelle. En l'absence d'une décision d'adéquation pour les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties adéquates sont fournies, en particulier pour ce flux de données.
Selon la CNIL, les mesures prises par Google Analytics ne sont pas suffisantes pour protéger les données personnelles des services de renseignement américains.
M. Schrems, Autrichien et utilisateur de Facebook, estimait, à la suite des révélations d'Edward Snowden à l'époque, que les États-Unis n'offraient pas une protection suffisante des données à caractère personnel qu'il transmettait contre les activités de surveillance des autorités de ce pays. La filiale irlandaise de Facebook a transféré les données personnelles collectées dans les pays de l'UE vers des serveurs aux États-Unis et les a traitées sur place. M. Schrems a déposé une plainte auprès de l'autorité de contrôle irlandaise, qui l'a rejetée en se fondant sur le "règlement Safe Harbour" de la Commission européenne du 26 juillet 2000. Ce règlement contient une série de principes sur la protection des données personnelles auxquels les entreprises américaines peuvent se soumettre volontairement.
La Cour de justice des Communautés européennes (CJCE) a déclaré la "règle de la sphère de sécurité" invalide dans l'arrêt Schrems - I. Cette règle ne s'applique qu'aux entreprises américaines, mais pas aux autorités américaines. Elle ne s'applique qu'aux entreprises américaines, mais pas aux autorités des États-Unis. Les exigences en matière de sécurité nationale, d'intérêt public et de mise en œuvre des lois américaines prévalent sur la règle de la sphère de sécurité. Les autorités américaines peuvent accéder aux données personnelles et les traiter d'une manière incompatible avec les finalités de leur transfert. En outre, il serait impossible pour les personnes concernées d'accéder à leurs données transférées, c'est-à-dire de remettre en question la légalité du traitement légitime ou d'en obtenir l'effacement.
La CJUE invalide la décision 2016/1250 du 12 juillet 2016 de la Commission européenne relative au bouclier de protection de la vie privée.
L'accès des autorités américaines aux données à caractère personnel transférées depuis l'UE n'est pas conforme aux exigences du droit de l'Union, car les programmes de surveillance fondés sur le droit américain ne sont pas limités au strict nécessaire. L'accès n'est pas équivalent au principe de proportionnalité applicable dans l'Union.
En outre, selon l'arrêt de la CJUE, le mécanisme de médiation prévu par le Privacy Shield n'offre pas aux personnes concernées les possibilités prévues par le droit de l'Union, à savoir l'indépendance du médiateur et son pouvoir de prendre des décisions contraignantes à l'égard des services de renseignement américains.
De nombreuses entreprises de l'UE utilisent des logiciels de fournisseurs américains. Les décisions concernent ces logiciels qui traitent des données personnelles. Nous vous recommandons de garder votre sang-froid et d'attendre les accords qui seront conclus à ce sujet.
DISS-CO® est une entreprise innovante de legal tech avec un fort accent sur l'eGRC et la RegTech. Construite par des enquêteurs expérimentés dans la détection de fraudes et autres violations dans divers secteurs.
