Plugins et sites internet : ce que pourrait impliquer l’invalidation du Privacy Shield
Publié 20 juillet 2020
Le 16 juillet 2020, le Cour de Justice de l’Union Européenne a invalidé l’accord encadrant les transferts de données personnelles entre l’UE et les USA (Accord nommé « Privacy Shield »), suite à l’action intentée par un ressortissant autrichien contre Facebook.
Cette décision aura des effets directs sur les entreprises américaines et les GAFA notamment mais également des effets indirects sur de très nombreux sites internet, y compris, potentiellement, celui d’une PME française implantée localement.
Comment cela est-il possible ?
Plugins et transfert de données personnelles
De nombreuses PME/TPE ne se sentiront pas concernés ou visées par cette décision de prime abord.
Pourtant, certaines le seront indirectement à cause des plugins installés sur leur site internet.
Force est de constater qu’aujourd’hui de nombreux prestataires de création de sites internet utilisent et installent, sur les sites qu’ils créent, une horde de plugins.
Or beaucoup de ces plugins, une fois installés sur le site internet de l’entreprise, transmettent des données personnelles (en général a minima l’adresse IP) à l’entreprise éditrice du plugin (voire les filiales de l’entreprise, le groupe et ses partenaires …).
En tant que responsable de traitement des données personnelles collectées via son site, l’entreprise est responsable, au minimum co-responsable, de l’usage des données personnelles qui sont collectées.
Si certains plugins sont conformes au RGPD, d’autres ne le sont pas.
Jusqu’au 16 juillet 2020, beaucoup de plugins américains étaient considérés comme « conformes » au RGPD uniquement grâce à l’adhésion de l’entreprise éditrice au « Privacy Shield ».
L’invalidation de ce dernier va donc changer la donne.
Privacy Shield, quésaco ?
Le Privacy Shield est un accord entré en vigueur en 2016 qui encadre les transferts de données personnelles depuis l’UE vers les USA (pays dont le niveau de protection des données n’a pas été jugé adéquat par l’UE), et ce, sans le consentement de la personne concernée.
L’entreprise américaine devait simplement s’inscrire sur la liste du Privacy Shield pour être considérée comme offrant un niveau de protection des données personnelles suffisant (sorte d’auto-certification : en effet, l’inscription au Privacy Shield impliquait – en théorie- que l’entreprise respecte les garanties juridiques prévues dans cet accord).
Quels sont les potentiels impacts sur la conformité RGPD de votre site internet ?
Avec l’invalidation du Privacy Shield, de nombreux plugins édités par des entreprises américaines ne sont plus, de facto, conformes au RGPD dans les conditions d’utilisation identiques.
Plusieurs solutions sont envisageables et parmi celles-ci :
- La suppression pure et simple des plugins non-conformes au RGPD,
- La mise en place d’un recueil de consentement pour les plugins concernés dès le premier accès au site pour autoriser le transfert des données personnelles aux USA,
La non-conformité RGPD de ces plugins[1] sera-t-elle définitive ?
Les entreprises américaines et notamment les GAFA (éditrices de nombreux plugins) ne vont surement pas tarder à réagir et impulseront la ligne directrice qui sera – sans doute – suivie par beaucoup d’entreprises outre-Atlantique.
Une porte a été laissée ouverte par la Cour de Justice de l’UE qui a considéré que les clauses contractuelles standards étaient valides et donc utilisables, à condition qu’elles garantissent un niveau de protection requis par le RGPD.
En fonction de l’outil juridique qui sera choisi par les entreprises américaines éditrices des plugins, la mise en conformité RGPD et des Politiques de Confidentialité de vos sites internet utilisant les plugins concernés devra être effectuée pour que ceux-ci intègrent les conséquences de cette décision.
Si vous avez des questions sur ce sujet, n’hésitez pas à nous contacter.
[1] Utilisés sans le recueil d’un consentement