Le Privacy Shield annulé, Facebook et Microsoft dans le collimateur
Après
l’invalidation du Safe Harbor, si de nombreuses entreprises s’étaient senties menacées, les transferts de données personnelles entre L’UE et les États- Unis n’avaient pas cessé. Certains outils permettaient en effet de poursuivre l’envoi de données, à l’instar des BCR ou des clauses contractuelles type. Une fois son successeur, le Privacy Shield, adopté et mis en place en août 2016, la situation s’en trouvait clarifiée. Toutefois, jamais les autorités européennes de protection des données personnelles ne s’en sont dites totalement satisfaites. Principale raison de cette défiance, les réticences américaines notamment à fournir des moyens de recours aux citoyens européens contre la surveillance gouvernementale. Et ce qui devait arriver arriva. En juillet dernier, la Cour européenne de justice, se prononçant sur un dossier similaire à celui du Safe Harbor, puisque l’activiste Max Schrems est, là encore, à l’origine du recours, invalide le Privacy Shield.
La Cnil et ses homologues européennes se réjouissent. Depuis longtemps, elles reprochent au mécanisme juridique d’être troué. Elles annoncent alors travailler conjointement à une analyse de l’arrêt de la Cour, afin d’en tirer « les conséquences pour les transferts de données de l’union européenne vers les États- Unis » .
Injonction irlandaise
La Data Protection Commission irlandaise a été la première à dégainer. Vers la fin août, le régulateur irlandais a envoyé à Facebook une injonction préliminaire de suspension des transferts de données vers les États- Unis concernant ses utilisateurs de L’UE. En conséquence de quoi le réseau social avait jusqu’à mi- septembre pour se conformer à l’injonction, en séparant les données collectées auprès de ses utilisateurs européens des autres, ou encore en interrompant leur collecte, sans quoi il s’expose à une amende pouvant s’élever à 2,8 milliards de dollars. Dans un billet de blog, le réseau social explique que l’enquête menée par l’autorité irlandaise suggérait que Facebook ne pouvait s’appuyer sur un contrat type pour transférer les données des utilisateurs européens vers les États- Unis. Il y voit un risque qui le dépasse largement. Si l’injonction crée un précédent, toutes les entreprises s’appuyant sur les clauses contractuelles type pourraient se voir concernées. « L’impact serait ressenti par les entreprises, grandes et petites, dans de multiples secteurs. Dans le pire des cas, cela pourrait signifier qu’une petite start- up technologique en Allemagne ne pourrait plus utiliser un fournisseur de Cloud basé aux États- Unis. Une société espagnole de développement de produits ne pouvait plus être en mesure d’exécuter une opération sur plusieurs fuseaux horaires. Un détaillant français peut constater qu’il ne peut plus maintenir un centre d’appels au Maroc » , écrit l’entreprise. Et elle ne croyait pas si bien dire, au détail près que ce n’est pas une petite entreprise allemande qui est visée.
Nouveau recours contre le HDH
Mercredi 16 septembre, en France, 18 organisations, syndicats et personnalités du monde médical déposent un nouveau recours auprès du Conseil d’état. Ils demandent de « suspendre le traitement et la centralisation des données au sein du Health Data Hub et, ce faisant, de s’aligner sur la toute récente jurisprudence européenne. » Car les données du Health Data Hub sont hébergées et traitées dans Microsoft Azure. Les plaignants font également valoir que « les engagements contractuels conclus entre la société Microsoft et le Health Data Hub sont insuffisants » . Pour le Syndicat de la Médecine générale, le Health Data Hub n’a jusqu’ici montré « aucune garantie sur une véritable sécurisation des données de santé des Français, notamment par son choix d’héberger celles- ci chez Microsoft, et met ainsi en danger le secret médical pourtant nécessaire à une relation thérapeutique saine et efficiente » . Affaire à suivre : le Conseil d’état avait rejeté, le 21 avril, un premier recours, mais le Privacy Shield tenait encore.