La Cour de Justice de l’Union Européenne a donné le 16 juillet 2020 un coup de massue sur la tête des juristes spécialisés en droit des données personnelles. Par l’effet de son arrêt dit « Schrems II », les transferts de données personnelles vers les Etats-Unis sont devenus illicites. Effet magique de la justice qui transforme du jour au lendemain la réalité d’un comportement en un comportement illicite. Rappelons ici qu’un accès depuis les Etats-Unis à des données hébergées en Europe constitue un transfert de données vers les États-Unis au sens du RGPD.
Il a fallu se rendre à l’évidence des conséquences de cette décision. Que les transferts de données vers les Etats-Unis soient fondés sur le mécanisme dit du « Privacy Shield » ou sur celui des « Clauses types de la Commission Européenne », aucun de ces mécanismes ne permettait d’échapper à la critique fondamentale de la CJUE : les Etats-Unis n’offrent pas aux données personnelles des Européens un niveau de protection équivalent à celui de l’Europe. La principale cause est la capacité des agences américaines à accéder à toute donnée traitée par une société américaine ou sous contrôle d’une société américaine par application, principalement, de l’article 702 du Foreign Intelligence Surveillance Act, sans recours juridictionnel effectif pour les personnes concernées.
Alors, comment remettre la réalité en accord avec le droit ?
Les institutions européennes phosphorent et viennent de livrer, coup sur coup, deux documents destinés à « aider » les entreprises pour répondre à cette question fondamentale.
Des mesures additionnelles pour un transfert hors de l’Union Européenne
Le European Data Protection Board (le groupe des « Cnil » européennes) a fourni le 10 novembre 2020 des recommandations « sur les mesures qui complètent les mécanismes de transferts de données en conformité avec le niveau européen de protection des données personnelles ».
On passe sur l’étonnant renversement de logique opéré par l’EDPB : l’article 46 du RGPD autorise le transfert de données personnelles vers un pays hors-UE sous réserve de « garanties appropriées » lesquelles sont limitativement énumérées. L’EDPB vient proposer des « mesures supplémentaires » s’il apparait que les « garanties appropriées » n’offrent pas un niveau de protection équivalent à celui de l’Union Européenne… donc qu’elles ne sont pas appropriées… mais le deviennent avec des « mesures supplémentaires » !
Quelles sont les mesures additionnelles proposées par l’EDPB ? Le but de ces mesures est clairement affiché : il s’agit d’empêcher les autorités du pays tiers d’identifier les personnes concernées, de déduire et recouper des informations les concernant.
Comment ? L’EDPB propose la mise en place de mesures que l’on peut qualifier de « classiques » au regard du RGPD mais dont on peut se figurer la complexité technique :
- Encryptage des données avec des techniques à l’état de l’art au regard notamment des capacités de crypto-analyse de l’Etat tiers vers lequel elles sont transférées ; les clés de chiffrement devant rester en la possession de l’exportateur de données ;
- Pseudonymisation des données à la suite d’une analyse approfondie des possibilités de réidentifier les personnes par les autorités de l’Etat tiers ;
- Ségrégation des données entre plusieurs fournisseurs cloud, de nationalités différentes, « d’une telle manière qu’aucun des fournisseurs ne dispose de suffisamment de données pour réagréger les données personnelles ».
Une conclusion implacable s’impose : si les données sont transférées « en clair » vers le pays tiers, l’EDPB n’est pas capable d’envisager une mesure technique effective qui empêcherait l’atteinte aux droits des personnes concernées.
A coupler avec le mécanisme juridique pertinent
En conformité avec l’article 46 du RGPD, l’adoption de ces mesures techniques supplémentaires devra se faire en complément du véhicule juridique adéquat pour le transfert des données hors de l’Union Européenne.
Il s’agira : de l’acceptation par l’importateur de données de « clauses contractuelles types », de l’adoption de « Règles d’entreprise contraignantes » (Binding Corporate Rules) ou de l’acceptation par l’importateur de données de « clauses ad hoc » autorisées par la CNIL.
La Commission européenne vient de rendre public un projet de clauses contractuelles types destinées à remplacer celles adoptées en 2001, 2004 et 2010, avant l’entrée en vigueur du RGPD.
Attention, comme le rappelle leur considérant 19 : le transfert de données vers un pays tiers ne pourra s’opérer en application de ces clauses contractuelles types que si le droit du pays de l’importateur ne l’empêche pas de respecter les clauses !
Parmi les obligations à respecter, nous avons celles prévues à l’article 3 intitulé : « obligations de l’importateur de données dans le cas de demandes d’accès gouvernementales ». Ces obligations peuvent donner à penser que la Commission européenne a tenu compte des critiques de la CJUE pour cette nouvelle version des clauses contractuelles type. Pourtant, en l’état du projet de clauses contractuelles types, rien ne permet de penser qu’elles échapperaient à ces critiques.
Au contraire, le transfert vers un pays tiers, même avec les « garanties appropriées » comme ces futures clauses contractuelles types, n’est possible (tel que rappelé dans l’arrêt Schrems II) qu’à la condition que les personnes concernées disposent « de droits opposables et de voies de droit effectives » à l’encontre des autorités publiques du pays importateur en cas d’accès à leurs données. Ces voies de recours effectives n’existaient pas avec le Privacy Shield s’agissant des Etats-Unis, elles n’existeront pas plus avec ces clauses contractuelles types « nouvelle génération ».
Que conclure (provisoirement) ?
Qu’il n’est toujours pas possible d’utiliser les services cloud d’une société américaine sans une analyse précise : des données transmises, des circonstances juridiques et contractuelles conduisant à ce transfert, des dispositions techniques de nature à constituer des mesures additionnelles pour la protection des données transmises, des mesures juridiques constituant des garanties appropriées au sens de l’article 46 du RGPD.
Passés la stupeur de la décision Schrems II et le temps de l’analyse, il est maintenant essentiel que les DSI agissent pour mettre en conformité avec le droit européen l’infrastructure cloud que leur entreprise utilise.
Dans une réaction du 15 septembre 2020 à la décision Schrems II, le Parlement européen a rappelé : les compagnies qui continuent à transférer des données sur la base du mécanisme invalidé risquent une amende de 20 millions d’euros ou 4% de leur chiffre d’affaires mondial… Dura lex, sed lex.