RGPD : Qui sont Max Schrems et l’association NOYB ?

Rendre le contrôle aux ressortissants européens sur leurs données personnelles est l'une des priorités du RGPD (Règlement Général sur la Protection des Données).

Une attention légitime dans une économie globalisée. (La donnée personnelle en est la principale ressource.) En pratique, l’application de la réglementation européenne est beaucoup plus délicate.

En effet, difficile pour un particulier de se frotter aux géants du web (comme Google et Facebook) au service juridique ultra puissant. C'est un peu David contre Goliath.

• Des ressortissants européens peu informés ;
  

• des internautes dans l'incapacité d’exercer véritablement leurs droits ;
  

• une absence d'association de protection de la vie privée ;

• des entreprises aux pratiques parfois douteuses...

Une situation intolérable pour l'activiste et avocat autrichien défenseur de la vie privée : Max Schrems.

En 2017, il fonde l'organisation à but non lucratif NOYB "none of your business."

Bien plus qu'un nom, un fil rouge qui guide chacune de ses actions. L'association s'attache à défendre les droits privés des consommateurs en :

•  analysant les pratiques suspectes des entreprises commerciales ;

•  coopérant avec d'autres ONG du secteur privé ;
  

•  veillant à l'application du RGPD grâce à des actions en justice “coup de poing” ;

•  aidant les entreprises à se mettre en conformité.

Depuis 2017, l'organisation a intenté de nombreux procès au nom des internautes. Leurs cibles privilégiées : les géants du web pour une exposition médiatique maximale.

Leto vous présente ici les actions passées et les projets actuels de l'association.

NYOB : les actions en justice passées

Bouger les lignes de la jurisprudence européenne, c’est le créneau de Max Schrems.

Pour des actions à portée mondiale, il n'existe qu'un seul moyen : s'attaquer aux puissants.

Dans son collimateur :

• Facebook ;

• Google ;

• Apple.

NYOB : les actions contre Facebook

"Safe Harbor" : Facebook transfère des données illégalement

Nous sommes en 2013. Max Schrems s'attaque à Facebook et saisit l'autorité de contrôle irlandaise.

Selon l’avocat, le roi des réseaux sociaux organise un transfert des données utilisateurs vers les États-Unis, en s'appuyant sur le “Safe Harbor” (système de transfert de données).

Problème : ce système avait été invalidé par la Cour de justice de l'Union européenne (CJUE).

Les clauses en vigueur n'étaient pas utilisées. Les autorités irlandaises souscrivent aux inquiétudes de Schrems. Elles intentent un procès à l'encontre de Facebook, mais aussi, étonnamment, à l'encontre de Schrems.

L'affaire est renvoyée à la CJUE pour aboutir, en 2020, au célèbre arrêté Schrems II.

NYOB : les actions contre Google

Google et le consentement forcé

25 mai 2018 : Max Schrems fête l'entrée en vigueur du RGPD en prenant Google de court. Malin, il l'accuse de violer l'article 7 du RGPD.

Pour accéder à l'ensemble des services de la firme de Mountain View, les internautes doivent accepter tous les traitements de données imposés par la firme américaine.

Une pratique contraire à la législation européenne.

La Commission nationale de l'informatique et des libertés (CNIL) sanctionne Google.

Montant de l'amende : 50 millions d'euros.

À noter : Facebook et ses filiales sont aussi concernées.

Google Analytics, un logiciel hors la loi en Europe

2020, un internaute s'inquiète de l'utilisation de Google Analytics par un site autrichien. Les données de santé communiquées étaient transmises à Google. Accompagné par l’association, l'internaute porte plainte.

Le recours continu à Google Analytics devient illégal en 2022 (décision d’un tribunal autrichien).

Une décision importante pour tous les sites internet européens. Google Analytics est l'outil d'analyses de trafic le plus populaire.

Les cookies publicitaires de Google : des logiciels espions

2021, l’association NYOB dépose une plainte en France. Des cookies Google permettraient de profiler les utilisateurs Android (comportements, habitudes de consommations…) pour leur proposer des publicités personnalisées.

Une pratique illégale. Les personnes concernées n’avaient formulé aucun consentement.

Schrems II : l'invalidation du Privacy Shield

16 juillet 2020 : le coup d'éclat. La CJUE invalide le Privacy Shield, le texte de loi qui encadrait les transferts de données Outre-Atlantique. Les États-Unis deviennent un pays tiers (perte de la décision d'adéquation).

Les lois de surveillance américaine (comme la loi Fisa - Foreign Intelligence Surveillance Act) ne permettent plus aux entreprises américaines d'assurer un niveau de protection adéquat. Données et droits des ressortissants européens sont menacés.

Les clauses contractuelles types en vigueur sont jugées insuffisantes. Les responsables de traitement (comme Facebook) doivent adopter des mesures de protection supplémentaires.

Résultats :

• 110 plaintes déposées contre des entreprises utilisant les outils Facebook et

Google ;

• des autorités de contrôles européennes sommées d'agir ;

• création, au sein du Conseil européen, d'un groupe chargé de coordonner les plaintes et d'accompagner les entreprises.

NYOB : l’identifiant d'Apple

2020, saisies des autorités espagnoles et allemandes.

L’organisation NYOB suspecte Apple de suivre et d'analyser le comportement des utilisateurs d'iPhone grâce à l'IDFA (un identifiant d'Apple pour les annonceurs).

NYOB : les projets d'aujourd'hui

Soucieuse de préserver la vie privée des ressortissants européens, l’association NYOB surveille étroitement les pratiques commerciales du secteur privé. Un combat mené sur plusieurs fronts.

Par ses actions, l’organisation souhaite :

• permettre aux utilisateurs de smartphones de supprimer les traceurs importés lors des téléchargements d'applications (projet de lutte contre les identifiants publicitaires) ;
  

• conditionner l'utilisation des bannières cookies aux consentements des internautes ;

• encadrer le crédit scoring (l'attribution d'un prêt selon une note de solvabilité) ;

• renforcer le droit à la portabilité des données et expliciter ses conditions techniques (la transmission de données personnelles à une autre entreprise reste une tâche délicate par manque d'un format standard) ;
  

• s'assurer de la conformité des traitements de données sensibles (sexe, origine ethnique...) réalisés par les applications de rencontres ;

• veiller à la sécurisation des données personnelles lors des envois d'e-mails (avec des techniques de chiffrement) ;
  

• lutter contre la collecte abusive de données dans le secteur privé et imposer le principe de la minimisation ;
  

• combattre les consentements forcés ;

• faciliter l'exercice du droit de rectification (permettre aux utilisateurs de modifier leurs données sur un site web facilement) ;

• faciliter l'exercice du droit d'accès (permettre aux utilisateurs des services de streaming d'obtenir simplement une copie exhaustive des informations détenues).

NYOB : un acteur majeur du droit européen

Vous en savez désormais un peu plus sur l'association NYOB. Par ses actions, l'organisation de Max Schrems joue un rôle primordial dans l'application du RGPD et la protection des libertés individuelles des ressortissants européens.

Des interrogations subsistent sur votre conformité RGPD ? Le logiciel RGPD Leto vous accompagne à chaque étape. Réserver une démo avec nos experts.