La décision de la Cour de Justice de l’Union européenne (CJUE) concernant le Privacy Shield entre l'UE et les États-Unis a de graves conséquences non seulement pour les sociétés américaines, mais aussi pour les responsables européens de traitement qui se sont appuyés sur l'accord sur les données conclu entre les États-Unis et l'Union européenne. Dès lors que ce mécanisme très important de sécurisation du transfert de données et l'application des clauses contractuelles types (CCT) ne sont plus d'application générale, la question se pose de savoir comment les responsables de traitement doivent faire face à la situation actuelle - après tout, les transferts de données vers les États-Unis sont devenus plus ou moins standard.
• Position de l'Autorité de contrôle autrichienne
L'Autorité autrichienne de Protection des Données (DPA) n'a pas encore officiellement commenté l'arrêt de la CJUE, mais se réfère à la déclaration du Comité européen de Protection des Données (CEPD). Le CEPD souligne que l'UE et les États-Unis devraient parvenir à un cadre complet et efficace garantissant que le niveau de protection accordé aux données personnelles aux États-Unis est essentiellement équivalent à celui de l'UE. Hormis cette référence, il n'existe pas de recommandation officielle à l'attention des responsables des traitement sur la manière de traiter la situation juridique actuelle. En outre, il n'est pas possible à ce stade d'évaluer la probabilité que les transferts de données soient interdits et l'étendue des sanctions qui pourraient être imposées par les autorités.
• Max Schrems - recommandations du NOYB (1)
Selon le NOYB, les responsables de traitement et les sous-traitants doivent vérifier tous les flux de données externes (y compris ceux vers des entreprises de l'UE, qui pourraient à leur tour transférer des données à une entreprise non européenne) pour les flux de données vers des pays tiers. En outre, les responsables de traitement et les sous-traitants doivent identifier en particulier tous les "fournisseurs de services de communication électronique" aux États-Unis et tout flux de données vers les États-Unis, car les CCT ne peuvent pas être utilisées si le destinataire est situé aux États-Unis et soumis aux lois de surveillance américaines (telles que la FISA 702). Toutefois, tous les transferts de données doivent être interrompus si le destinataire continue à se prévaloir du Privacy Shield, si une société américaine affiliée est un "Fournisseur de services de communication électronique", ou si les données personnelles ne peuvent être protégées contre une "interception" par les autorités (ce qui est la situation juridique aux États-Unis).
En outre, le NOYB recommande d'informer l'autorité de surveillance compétente si un responsable de traitement ou un sous-traitant continue d'utiliser des CCT, des règles d'entreprise contraignantes ou d'autres instruments malgré un avis négatif.
• NOYB et plaintes
Le NOYB a déposé 101 plaintes contre des entreprises dans 30 États membres de l'UE et de l'EEE un mois après la "chute" du Privacy Shield. Les sites internet de ces entreprises utilisent des cookies pour transmettre les données des visiteurs de leurs sites internet à Google et Facebook. Toutefois, les plaintes sont également dirigées contre Google et Facebook aux États-Unis, car ces entreprises continuent d'accepter ces données en violation du RGPD. Les sites internet ont été sélectionnés sur la base des TLD européens, de deux codes de suivi spécifiques et du nombre approximatif de visiteurs sur le site respectif. Aucune décision n'a encore été publiée concernant ces plaintes ni aucune autre sanction à cet égard en Autriche.
(1) Le Centre européen pour les droits numériques (appelé noyb, de "none of your business") est une organisation à but non lucratif basée à Vienne, en Autriche, créée en 2017 et fondée par Max Schrems.
• Position de l'Autorité de contrôle autrichienne
L'Autorité autrichienne de Protection des Données (DPA) n'a pas encore officiellement commenté l'arrêt de la CJUE, mais se réfère à la déclaration du Comité européen de Protection des Données (CEPD). Le CEPD souligne que l'UE et les États-Unis devraient parvenir à un cadre complet et efficace garantissant que le niveau de protection accordé aux données personnelles aux États-Unis est essentiellement équivalent à celui de l'UE. Hormis cette référence, il n'existe pas de recommandation officielle à l'attention des responsables des traitement sur la manière de traiter la situation juridique actuelle. En outre, il n'est pas possible à ce stade d'évaluer la probabilité que les transferts de données soient interdits et l'étendue des sanctions qui pourraient être imposées par les autorités.
• Max Schrems - recommandations du NOYB (1)
Selon le NOYB, les responsables de traitement et les sous-traitants doivent vérifier tous les flux de données externes (y compris ceux vers des entreprises de l'UE, qui pourraient à leur tour transférer des données à une entreprise non européenne) pour les flux de données vers des pays tiers. En outre, les responsables de traitement et les sous-traitants doivent identifier en particulier tous les "fournisseurs de services de communication électronique" aux États-Unis et tout flux de données vers les États-Unis, car les CCT ne peuvent pas être utilisées si le destinataire est situé aux États-Unis et soumis aux lois de surveillance américaines (telles que la FISA 702). Toutefois, tous les transferts de données doivent être interrompus si le destinataire continue à se prévaloir du Privacy Shield, si une société américaine affiliée est un "Fournisseur de services de communication électronique", ou si les données personnelles ne peuvent être protégées contre une "interception" par les autorités (ce qui est la situation juridique aux États-Unis).
En outre, le NOYB recommande d'informer l'autorité de surveillance compétente si un responsable de traitement ou un sous-traitant continue d'utiliser des CCT, des règles d'entreprise contraignantes ou d'autres instruments malgré un avis négatif.
• NOYB et plaintes
Le NOYB a déposé 101 plaintes contre des entreprises dans 30 États membres de l'UE et de l'EEE un mois après la "chute" du Privacy Shield. Les sites internet de ces entreprises utilisent des cookies pour transmettre les données des visiteurs de leurs sites internet à Google et Facebook. Toutefois, les plaintes sont également dirigées contre Google et Facebook aux États-Unis, car ces entreprises continuent d'accepter ces données en violation du RGPD. Les sites internet ont été sélectionnés sur la base des TLD européens, de deux codes de suivi spécifiques et du nombre approximatif de visiteurs sur le site respectif. Aucune décision n'a encore été publiée concernant ces plaintes ni aucune autre sanction à cet égard en Autriche.
(1) Le Centre européen pour les droits numériques (appelé noyb, de "none of your business") est une organisation à but non lucratif basée à Vienne, en Autriche, créée en 2017 et fondée par Max Schrems.
The Privacy Shield in Austria
“The Austrian Data Protection Authority (DPA) has not yet officially commented on the CJEU’s ruling, but refers to the statement of the European Data Protection Board (EDPB).”
The European Court of Justice (CJEU) decision regarding the EU-US-Privacy Shield has serious impacts not only for US companies, but also for European controllers that relied on the data agreement between the US and the European Union. Since this very important mechanism for securing data transfer and the application of Standard Contractual Clauses (SCC) are now no longer generally applicable, the question arises how controllers shall deal with the current situation - after all, data transfers to the US have become more or less standard.
• Positions of the Austrian supervisory authority
The Austrian Data Protection Authority (DPA) has not yet officially commented on the CJEU’s ruling, but refers to the statement of the European Data Protection Board (EDPB). The EDPB points out that the EU and the US should achieve a complete and effective framework guaranteeing that the level of protection granted to personal data in the US is essentially equivalent to that within the EU. Apart from this reference, there is no official recommendation for controllers on how to deal with the current legal situation. Furthermore, it is not possible at this stage to assess the likelihood of data transfers to be prohibited and the extent of penalties that could be imposed by the authorities.
• Max Schrems - recommendations by NOYB (1)
According to NOYB, controllers and processors should check all external data flows (including those to EU companies, which in turn could transfer data to a non-EU company) for data flows to third countries. In addition, controllers and processors should identify in particular all "Electronic Communication Service Providers" in the US and any data flow to the US, as SCCs cannot be used if the recipient is located in the US and subject to US surveillance laws (such as FISA 702). However, all data transfers should be stopped in case the recipient continues to rely on the Privacy Shield, an affiliated US company is an "Electronic Communication Service Provider", or if personal data cannot be protected from “interception” by the authorities (ie which is the legal situation in the US).
In addition, NOYB recommends notifying the relevant supervisory authority if a controller or processor continues to use SCCs, Binding Corporate Rules or other instruments despite a negative assessment.
• NOYB and complaints
NOYB has filed 101 complaints against companies in 30 EU and EEA Member States one month after the "fall " of the Privacy Shield. Those companies' websites use cookies to forward data of their website visitors to Google and Facebook. However, the complaints are also directed against Google and Facebook in the US because these companies continue to accept these data in violation of the GDPR. The websites have been selected based on European TLDs, two specific tracking codes and the approximate number of visitors to the respective site. There is no decision yet published on these complaints or any other penalties in this regard in Austria.
(1) European Center for Digital Rights (styled as noyb, from "none of your business") is a non-profit organization based in Vienna, Austria established in 2017 and founded by Max Schrems.
The European Court of Justice (CJEU) decision regarding the EU-US-Privacy Shield has serious impacts not only for US companies, but also for European controllers that relied on the data agreement between the US and the European Union. Since this very important mechanism for securing data transfer and the application of Standard Contractual Clauses (SCC) are now no longer generally applicable, the question arises how controllers shall deal with the current situation - after all, data transfers to the US have become more or less standard.
• Positions of the Austrian supervisory authority
The Austrian Data Protection Authority (DPA) has not yet officially commented on the CJEU’s ruling, but refers to the statement of the European Data Protection Board (EDPB). The EDPB points out that the EU and the US should achieve a complete and effective framework guaranteeing that the level of protection granted to personal data in the US is essentially equivalent to that within the EU. Apart from this reference, there is no official recommendation for controllers on how to deal with the current legal situation. Furthermore, it is not possible at this stage to assess the likelihood of data transfers to be prohibited and the extent of penalties that could be imposed by the authorities.
• Max Schrems - recommendations by NOYB (1)
According to NOYB, controllers and processors should check all external data flows (including those to EU companies, which in turn could transfer data to a non-EU company) for data flows to third countries. In addition, controllers and processors should identify in particular all "Electronic Communication Service Providers" in the US and any data flow to the US, as SCCs cannot be used if the recipient is located in the US and subject to US surveillance laws (such as FISA 702). However, all data transfers should be stopped in case the recipient continues to rely on the Privacy Shield, an affiliated US company is an "Electronic Communication Service Provider", or if personal data cannot be protected from “interception” by the authorities (ie which is the legal situation in the US).
In addition, NOYB recommends notifying the relevant supervisory authority if a controller or processor continues to use SCCs, Binding Corporate Rules or other instruments despite a negative assessment.
• NOYB and complaints
NOYB has filed 101 complaints against companies in 30 EU and EEA Member States one month after the "fall " of the Privacy Shield. Those companies' websites use cookies to forward data of their website visitors to Google and Facebook. However, the complaints are also directed against Google and Facebook in the US because these companies continue to accept these data in violation of the GDPR. The websites have been selected based on European TLDs, two specific tracking codes and the approximate number of visitors to the respective site. There is no decision yet published on these complaints or any other penalties in this regard in Austria.
(1) European Center for Digital Rights (styled as noyb, from "none of your business") is a non-profit organization based in Vienna, Austria established in 2017 and founded by Max Schrems.