Les représentants du personnel n’entendent plus se contenter des seules réponses verbales des dirigeants d’entreprises qui indiquent verbalement qu’ils respectent la loi sans savoir, bien souvent, de quoi il retourne. Il faut des preuves concrètes, pas de simples affirmations:
Un encadrement renforcé des transferts de données en dehors de l’Union européenne
Depuis l’invalidation du Privacy Shield (bouclier de transfert de données UE/US) par la Cour de justice de l’Union européenne le 16 juillet 2020 (Arrêt dit « Shrems II »), les transferts de données vers les Etats-Unis nécessitent non seulement :
- la mise en place d’un outil de transfert de données (Chapitre V du RGPD), tel que des clauses contractuelles types entre l’entité exportatrice de données et l’entité importatrice de données. Des clauses contractuelles types ont été actualisées en ce sens par la Commission européenne le 4 juin 2021.
- l’adoption de mesures complémentaires recommandées par le CEPD. Les guidelines du CEPD expliquent toutefois qu’aucune mesure complémentaire ne permettrait la licéité du transfert de données dès lors que des données en clair sont transférées vers un pays qui n’offre pas un niveau de protection substantiellement équivalent au niveau de protection européen, tel que les Etats-Unis.
Un renforcement de la règlementation applicable aux cookies et une attention accrue de la CNIL
En septembre 2020, la CNIL a formulé des recommandations à destination des éditeurs de sites pour se mettre en conformité avec la règlementation applicable aux cookies.
S’en est suivie une vague de contrôles et diverses sanctions de la CNIL au cours de 2021. Très récemment, en janvier 2022, la CNIL a déjà sanctionné Google à hauteur de 150 millions d’euros en ce que google.fr ne permettait pas à l’utilisateur de refuser les cookies aussi facilement que de les accepter.
Si un certain flou juridique pouvait être invoqué jusqu’alors, la dernière décision de la CNIL ne fait guère place au doute : Google Analytics, dans ses fonctionnalités actuelles, n’est pas conforme à la règlementation et les éditeurs de sites français doivent en suspendre l’utilisation à brefs délais
Qui plus est, les sanctions répétées des CNIL européennes, combinées à cette récente mise en demeure, laissent penser que les autorités de régulation entament une vague de contrôle plus globale sur l’ensemble des outils induisant des transferts de données vers les Etats-Unis tels que les outils de Cloud. A ce titre, un représentant de l’association NOYB estime que la mise en demeure de la CNIL présage de sanctions à l’égard d’autres outils commeQui plus est, les sanctions répétées des CNIL européennes, combinées à cette récente mise en demeure, laissent penser que les autorités de régulation entament une vague de contrôle plus globale sur l’ensemble des outils induisant des transferts de données vers les Etats-Unis tels que les outils de Cloud. A ce titre, un représentant de l’association NOYB estime que la mise en demeure de la CNIL présage de sanctions à l’égard d’autres outils comme les services cloud ou de paiement américains.
Désormais, plus aucun site n’est à l’abri d’un contrôle à distance et inopiné de son site par la CNIL. Si le contrôle vient à révéler la présence de cookies Google Analytics (même en présence d’un bandeau de consentement « cookie consent ») l’éditeur du site s’expose à une mise en demeure de l’autorité de contrôle voire à une amende administrative dont le montant est susceptible de s’élever à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros.