En BigIDeas en mouvementMatt Getz, avocat spécialisé en confidentialité et conformité chez Boies Schiller Flexner LLP et ancien arbitre du cadre du bouclier de protection des données UE-États-Unis, discute des vastes implications de la décision du bouclier de protection des données — ainsi que de son travail sur Brown vs. Google, la prochaine affaire de recours collectif en « mode incognito » qui fait déjà la une des journaux.
Ce que la décision Schrems II signifie réellement pour la confidentialité des données
Le 16 juillet, la Cour de justice de l'Union européenne (CJUE) a annulé le bouclier de protection des données UE-États-Unis, un accord entre les États-Unis et l'Union européenne sur la manière dont les entreprises américaines traitent les données personnelles des utilisateurs de l'UE, qualifiant les protections américaines d'« inadéquates » dans le cadre de ce cadre.
La décision, communément appelée « Schrems II » car elle fait suite à l'arrêt rendu dans l'affaire Facebook contre Schrems, a de vastes implications pour le transfert transfrontalier de données. « Franchement, si nous poussons cette décision jusqu'à son terme », prédit Getz, «transferts de données en masse aux États-Unis vont devenir vraiment, vraiment difficiles.
Avant la décision historique d'annuler le Privacy Shield, que plus de 5 000 entreprises de l'UE utilisaient pour transférer des données personnelles vers les États-Unis, « très peu » de litiges impliquant le Privacy Shield étaient survenus, et la Commission européenne lui avait systématiquement donné des « rapports élogieux », explique Getz.
« En fait, j’ai eu l’impression que le programme fonctionnait plutôt bien du point de vue de personnes concernéesIl n’y avait pas beaucoup de gros problèmes, c’est pourquoi je pense que la décision Schrems II est si intéressante à bien des égards.
La réaction du « poulet sans tête » à Schrems II
Efficace ou non, de nombreux signes laissaient présager une hausse du nombre de cas de Privacy Shield. « Dès son lancement, le programme Privacy Shield a suscité de nombreuses critiques. Certaines ONG s'y sont opposées, les tribunaux irlandais qui l'ont examiné n'ont pas été très satisfaits, et bien sûr, M. Schrems s'y est opposé. »
Même si Schrems II n’a pas invalidé Clauses contractuelles types (CCT) du Privacy Shield, cela a créé beaucoup d’incertitude quant aux « mesures supplémentaires » et aux « garanties additionnelles » qui pourraient être nécessaires à l’avenir pour protéger les données circulant entre l’UE et les États-Unis.
Les autorités de protection des données et le Conseil européen de surveillance de la protection des données ont eu une réaction quelque peu désinvolte face à l'arrêt Schrems II. Quant à « ce que les responsables du traitement et les exportateurs de données doivent faire concernant les clauses contractuelles types, personne ne sait vraiment ce que cela signifie – ni ce qu'ils sont censés faire désormais », explique Getz.
« Ils ont tous dit : "Oh, nous saluons la décision. Nous y réfléchissons et nous reviendrons vers vous pour vous indiquer la marche à suivre." » Cela me dit donc, explique Getz, « qu'ils étaient eux aussi surpris et qu'ils n'avaient pas de plan d'urgence. »
Que peut faire une entreprise européenne en attendant ?
Bien que la décision relative au Privacy Shield entre en vigueur immédiatement, Getz estime que les entreprises de l'UE peuvent probablement s'attendre à « beaucoup de latitude et de marge de manœuvre en termes de application de la loi. Je pense que les partis vont laisser les gens commencer à réfléchir à ce qu’ils doivent faire et ne pas prendre de mesures immédiates.
En attendant, un homme averti en vaut deux, comme c'est souvent le cas. en matière de confidentialité des données.
« Je pense que la première chose à faire, pour ceux qui ne l'ont pas encore fait, est de réaliser un audit et de déterminer précisément quelles données vous avez transmises via le Privacy Shield, et d'identifier d'autres moyens de les transmettre. Identifiez les autres mesures possibles : l'anonymisation, la pseudonymisation, etc.
En ce qui concerne la préparation aux mesures et garanties supplémentaires inconnues qui nous attendent, « il est nécessaire que les entreprises, les contrôleurs et les exportateurs procèdent régulièrement à des audits et à des examens de ces mesures. exactement ce qui se passe avec leurs données et où elles se trouvent.
« Les gens vont devoir y regarder de plus près et y consacrer un peu plus de temps et de ressources. évaluer les données qui circulent."
Alors que tous les regards sont tournés vers la manière dont cela affecte les données transférées vers les États-Unis, « si vous poussez cette décision jusqu'à ses conclusions logiques », déclare Getz, « il me semble que presque tous les transferts à grande échelle de l'UE vers un pays qui n'a pas de décision d'adéquation - et rappelez-vous qu'il n'y a qu'une douzaine de pays qui ont des décisions d'adéquation - n'importe lequel d'entre eux serait probablement en violation des règles."
Brown vs. Google — Dans quelle mesure le mode privé est-il privé ?
En plus de son travail sur le Privacy Shield, Getz fait également partie de l'équipe juridique du Affaire Brown contre Google, une action collective en Californie qui concerne les activités de traitement des données de Google lorsque les gens naviguent en mode privé ou « incognito ».
« Le titre est le suivant : presque tous ceux qui naviguent en privé – et pensent naviguer en privé – ne le font en réalité pas, car Google collecte, utilise et stocke les données. »
Google déclare qu'il ne suit pas vos données lorsque vous naviguez en mode navigation privée, mais « en raison de la façon dont fonctionnent Google Analytics et Google Ad Manager — parce qu'ils sont intégrés sur les sites Web de plus de 70% de tous les éditeurs — si, pendant que vous naviguez en privé, vous visitez une page qui contient Google Analytics et Google Ad Manager, comme le New York Times, le Washington Post, BuzzFeed, Reddit ; ils sont partout, alors Google collecte, traite et stocke réellement les données des utilisateurs.
Et [Google] conserve ces données et en fait usage, même si les gens pensent que Google ne les exploite pas. Nous pensons qu'il s'agit d'une violation de la Lois californiennes sur la confidentialité."
Bien que l'affaire soit « à ses débuts » et que Google n'ait même pas encore eu à réagir, les implications d'une poursuite contre un géant de l'Internet comme Google pourraient faire comprendre que « si les gens veulent joindre le geste à la parole, ils devront parler », explique Getz.
Écouter le podcast pour en savoir plus sur les prédictions de Getz pour Schrems II et Brown vs. Google.
Auteur
