Protection des données en cas de recours à des prestataires de services américains
Ces dernières semaines, les exploitants de sites web - surtout les PME - ont souvent reçu des avertissements et des demandes de dommages et intérêts pour l'utilisation de "Google Fonts". Il s'agit de polices de caractères qui sont appelées par défaut par les serveurs de Google aux États-Unis lors de l'ouverture du site web. Les milliers de lettres envoyées ont été déclenchées par un jugement du tribunal de grande instance de Munich. Dans le cadre d'une procédure, la chambre avait constaté que l'utilisation de Google Fonts constituait non seulement une violation de la protection des données, mais qu'elle donnait également droit à des dommages et intérêts. La nature juridiquement très douteuse des avertissements envoyés en conséquence par des personnes prétendument concernées a été largement rapportée dans les médias et VOELKER a aidé différents clients à se défendre contre ces prétentions.
Cette vague d'avertissements soulève toutefois une question: D'autres vagues d'avertissements pour violation de la protection des données menacent-elles à l'avenir ? Le problème qui se cache derrière les avertissements "Google Fonts" concerne le transfert de données vers les États-Unis. Depuis l'arrêt "Schrems II" de la Cour de justice européenne, il n'existe plus d'accord général entre les États-Unis et l'UE qui, en présence de certaines conditions, légitimerait un transfert de données à certaines entreprises aux États-Unis en matière de protection des données. En l'absence d'un tel accord, les services qui nécessitent par défaut un transfert de données vers des serveurs de prestataires de services américains risquent régulièrement de poser des problèmes en matière de protection des données. Cela est illustré par le fait qu'à l'heure actuelle, même les institutions publiques allemandes ne parviennent pas à utiliser des services tels que "Microsoft Office 365" de manière conforme à la protection des données (ou que cette utilisation est pour le moins très controversée). Les difficultés susmentionnées apparaissent dans tous les cas où des prestataires de services américains sont impliqués, par exemple en cas d'utilisation de certains fournisseurs de services d'hébergement ou de cloud ou de certains réseaux de suivi et de publicité. Comme il est souvent possible de vérifier l'utilisation de ces services critiques en surfant sur le site web, il existe un potentiel de nouvelles vagues d'avertissements en raison du peu d'efforts requis. Il convient de noter que la seule promesse d'un fournisseur d'hébergement tel qu'AWS de n'utiliser que des serveurs situés à Francfort ne suffira pas à résoudre le problème. En effet, la possibilité d'accès par l'entreprise américaine concernée subsiste.
Une solution se dessine toutefois : un nouvel accord intergouvernemental - le "EU-US Data Privacy Framework " - devrait remplacer dès le printemps 2023 l'accord "Privacy Shield" déclaré invalide par l'arrêt "Schrems II" et permettre ainsi un transfert vers les États-Unis conforme à la protection des données, du moins aux entreprises américaines certifiées selon le Framework. Toutefois, des plaintes sont d'ores et déjà annoncées contre ce nouvel accord. La raison en est que le nouveau "EU-US Data Privacy Framework" est essentiellement une continuation de l'accord précédent qui a été déclaré invalide. Néanmoins, le nouvel accord peut constituer une solution, du moins pendant une période transitoire. Il convient donc de suivre de près l'évolution de la situation.
Les vagues actuelles d'avertissements pourraient toutefois prendre fin pour une toute autre raison : depuis août 2021, une procédure est en cours devant la Cour de justice de l'Union européenne, qui doit clarifier définitivement si des "dommages mineurs" peuvent être invoqués en référence au RGPD. Cela pourrait en tout cas éliminer l'incitation financière actuelle à envoyer des avertissements en masse.