L’association None of Your Business (NOYB) fondée par Maximilian Schrems a déposé 101 recours auprès de diverses autorités de protection des données à caractère personnel visant plusieurs entreprises pour transfert illégal de données à Google et Facebook aux Etats-Unis, sur le fondement du RGPD et de la récente décision « Schrems II » invalidant le Privacy Shield.

Parmi les 101 entreprises sont visées 6 entreprises françaises pour leurs relations avec Google et Facebook : Huffington Post, Décathlon SA, Sephora SAS, Auchan e-commerce, Leroy Merlin et Free.

Dans son communiqué en date de 17 Août 2020, NOYB considère que les transferts de données de ces entreprises vers des sociétés établies dans des pays tiers ne peuvent se poursuivre par le biais des clauses contractuelles types de 2010 issues de la décision 2010/87/UE du 05 Février 2010, puisque ces clauses sont ne sont pas opérationnelles dans le cadre d’un transfert de données vers des destinataires américains, qui sont assujetties par principe à des « lois de surveillance de masse ».

L’association tient son argument de son interprétation de la décision « EU-US Privacy Shield » dans l’affaire « Schrems II » rendue le 16 Juillet 2020.  En effet, la CJUE a invalidé le Privacy Shield, en considérant que les lois de surveillance américaines (l’article 702 du FISA Amendments Acts de 2008 et le décret-loi 12.333) autorisaient de façon permissive aux autorités de sécurité tel que la NSA d’accéder aux données personnelles collectées par Google et Facebook. Cette « intrusion », n’était par ailleurs accompagnée d’aucune garanties suffisantes au regard du RGPD. Toutefois, la Cour a validé les clauses contractuelles types de 2010 sous réserve de de disposer de « mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté ». Enfin, elle a ajouté qu’un responsable de traitement doit informer les personnes concernées par le transfert de données lorsqu’il est dans l’incapacité de se conformer aux obligations du contrat sur le respect du RGPD, même si ce dernier se repose sur les clauses contractuelles types.

Par l’analyse de cette décision, NOYB estime que « le responsable du traitement ne peut pas fonder le transfert de données sur les clauses contractuelles types de protection des données […] si le pays tiers de destination n’assure pas une protection adéquate, en vertu du droit de l’UE, des données à caractère personnel transférées en application de ces clauses ». De surcroît, NOYB démontre à travers ses différentes plaintes que Facebook et Google s’appuient toujours sur le Privacy Shield dans leurs conditions générales de traitement de données.

Par conséquent, Maximilian Schrems et son association demandent aux différentes autorités de contrôle saisies de procéder à diverses enquêtes pour déterminer la nature des données transférées ainsi que la licéité des conditions générales de traitement de données de Google et Facebook à l’aune de la décision de la CJUE. Enfin l’association souhaite que les 101 entreprises ainsi que les deux réseaux sociaux soient sanctionnées par une amende accompagnée d’une interdiction ou suspension des transferts de données vers les Etats-Unis

NOYB déclare donc la guerre aux entreprises en relation avec Facebook et Google et prévoit « d’augmenter progressivement la pression sur les entreprises européennes et américaines pour qu’elles revoient leurs accords de transfert de données et s’adaptent à la décision claire de la Cour suprême de l’UE ».