Pour gérer vos consentements :

Deux ans de RGPD : l’étau se resserre sur les GAFA

Il y a deux ans tout juste, le RGPD entrait en application. Depuis lors, des sanctions sont tombées à l’encontre de têtes de gondole de la Silicon Valley.

En France, Google y est passé, écopant d’une amende de 50 millions d’euros.

Au-delà de la Cnil, son homologue irlandaise, la DPC (Data Protection Commission), a été particulièrement sollicitée. La raison : l’implantation, sur place, des filiales européennes des GAFA. L’autorité née parallèlement à l’entrée en vigueur du RGPD vient de faire le point sur l’avancée de ses enquêtes. Elle signale notamment avoir soumis à l’examen de ses pairs européens une décision préliminaire relative à Twitter.

Les investigations avaient démarré à la suite de plusieurs notifications de brèches par l’entreprise américaine.
Il s’agit de déterminer si cette dernière a ou non enfreint des dispositions inscrites à l’article 33 du RGPD. Celles-ci portent sur le processus de révélation desdites brèches et les procédures y afférentes.

La « famille Facebook » dans le collimateur

La DPC fait part de ses avancées sur d’autres dossiers :

  • Communication, à WhatsApp, d’une décision préliminaire rapport au partage de données avec sa maison mère Facebook (articles 12 et 14 du RGPD)
  • Fin de la phase d’investigation d’une plainte centrée sur les obligations de Facebook Irlande de disposer d’une base légale au traitement de données personnelles
  • Envoi de questionnaires aux plaignants et aux « parties intéressées » dans le cadre de deux autres enquêtes, sur Instagram et WhatsApp

L’autorité irlandaise attend, en parallèle, la décision de la CJUE dans l’affaire dite « Max Schrems ».

Cet Autrichien avait déposé plainte en 2013 contre Facebook Irlande. Il exigeait que la filiale européenne du réseau social cesse de transférer les données des citoyens européens vers la maison mère, dans la mesure où les États-Unis n’en assureraient pas une protection adéquate. Il s’appuyait en particulier sur les révélations d’Edward Snowden.

L’affaire a, entre autres, mené à l’invalidation du Safe Harbor, ensemble de principes de protection des données personnelles destiné à en permettre le transfert hors d’Europe.

Après cette invalidation, Facebook s’est appuyé, au moins partiellement, sur un mécanisme spécifié dans la décision 2010/87/UE : des clauses types inscrites dans le contrat entre « importateur » et « exportateur » des données. Leur base : la Charte des droits fondamentaux de l’Union européenne.

La CJUE est appelée à se prononcer à ce sujet, à la demande de la Haute Cour de justice d’Irlande. On attend son verdict pour le 16 juillet 2020.

L’avocat général a rendu ses conclusions en décembre 2019. Il estime que rien au cours des procédures n’a été de nature à remettre en cause la décision 2010/87.

Photo d’illustration © IBM

Recent Posts

Salaires IT : les experts en cybersécurité et data plébiscités

Le marché de l'emploi IT reste dynamique. Le rapport de force penche en faveur de…

23 heures ago

Data management : Rubrik nomme John Murphy RSSI « Global Field »

Rubrik a recruté John Murphy, ex-décideur IT de BNY Mellon, pour soutenir la sécurité "zero…

1 jour ago

PrintNightmare : Microsoft n’en est pas encore sorti

L'Update Tuesday de septembre comprend une nouvelle livrée de correctifs pour les failles PrintNightmare... et…

1 jour ago

Einstein Automate a un an : où en est Salesforce ?

Il y a un an, Salesforce inaugurait la bannière Einstein Automate. Comment les produits qu'elle…

1 jour ago

SaaS « souverain » : OVHcloud et Talentsoft font cause commune

OVHcloud et Talentsoft, entreprise récemment acquise par Cegid, proposent une offre cloud de gestion du…

2 jours ago

Microsoft a-t-il vraiment éliminé les mots de passe ?

L'option de connexion sans mot de passe se diffuse sur les comptes Microsoft. Mais il…

2 jours ago