2e volet de notre série sur l'arrêt Schrems II.
- Privacy Shield - Le coup d’arrêt de la CJUE pour les transferts vers les USA
- Transferts vers les USA : point d’étape sur les clauses contractuelles type de l'UE
- Transfert des données hors UE : les 6 étapes à suivre !
Rappel : l’arrêt SCHREMS II de la CJUE
Le 16 juillet 2020, dans un arrêt SHREMS II très attendu, la Cour de justice de l’Union européenne (CJUE) a invalidé l’accord entre l’Union européenne et les Etats-Unis dit “Privacy Shield”.
Le Privacy Shield n’est plus une base légale acceptable pour réaliser de tels transferts.
La Cour s’est également prononcée sur les clauses contractuelles type de la Commission européennes qu’elle n’a pas invalidées. Elle a cependant rappelé qu’il appartenait aux parties de s’assurer du niveau de protection des données dans les pays où sont exportées les données afin que celui ci garantisse le respect des principes du RGPD. En particulier, l’importateur (qui emmène les données aux USA), doit assurer à l’autre partie que la législation de son pays permet le respect des clauses et donc d’assurer un niveau de garanties conforme au droit européen. L’exportateur doit prendre, en cas de législation contraire au droit européen, des mesures telles que la résiliation ou la suspension du transfert (articles 5.b et 8.3 des clauses type pour les curieux).
L’utilisation de ces clauses pose difficulté car une incompatibilité est liée au régime de surveillance américain et au fait qu’il n’est pas encadré de manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.
Autrement dit, les clauses contractuelles type n’empêchent pas les Etats-Unis de dépasser le cadre protecteur européen et ainsi ne peuvent pas être utilisées en l’état.
Maintenant qu’on sait ça et qu’on s’est rendu compte qu’un très grand nombre de services transfèrent des données sous ma responsabilité vers les USA, que faire ?
Nous l'avions déjà dit : recenser ces services et vérifier qu’on ne transfère rien sur la base du Privacy Shield.
Ensuite, il n’y a pas de solutions miracles. Le CEPD (comité européen de protection des données, regroupement des CNIL européennes) s’est prononcé et a publié une FAQ (disponible ici).
Il considère que la législation américaine ne garantit pas un niveau de protection substantiellement équivalent donc n’est pas suffisante en l’état. En vertu des articles 5.b et 8.3 des clauses, il faut ainsi : soit cesser le transfert/résilier le contrat, soit informer l’autorité de contrôle dont on dépend de la continuité du transfert.
Il indique surtout qu’une évaluation doit être faite pour mesurer le niveau de risques sur le transfert eu égard à la législation américaine. Cette évaluation qui fait partie de la documentation à tenir impérativement est l’occasion d’envisager des mesures complémentaires au transfert.
Si vous considérez que l’évaluation conclut à ce que des garanties sont suffisantes pour assurer un transfert dans le respect du droit européen, alors vous pouvez continuer le transfert.
Si vous considérez que l’évaluation conclut à ce que les garanties ne sont pas suffisantes, alors il faut soit arrêter, soit informer l’autorité de contrôle si on continue.
Quelles mesures complémentaires ?
C’est du cas par cas, mais on pense bien évidemment à des mesures techniques. Plusieurs autorités de contrôle ont déjà émis ces hypothèses, tel que l’autorité de contrôle du Baden Wurtemberg en Allemagne, qui évoque les mesures acceptables suivantes (ici) :
- chiffrement des données dont la clé est connue uniquement de l’exportateur de données et qui ne peut être brisé même par les services américains (ce qui en l’espèce sera bien difficile à prouver),
- anonymisation des données personnelles.
On peut également ajouter la minimisation des données, la pseudonymisation, l’absence de conservation des données. Selon le contexte, les mesures seront plus ou moins fortes et nécessaires. Dans le cas de transferts de données en vue d’un support technique, on pourrait par exemple imaginer que seules les données indirectement identifiantes soient transmises (tel qu’un morceau de code expurgé de données directement identifiantes) et qu’aucune réidentification ne soit possible pour l’importateur (aux USA).
Aujourd’hui, les autorités ne se sont pas prononcées de concert. La CNIL n’a pas encore communiqué sur le sujet et analyse les conséquences de l’arrêt.
Le CEPD a indiqué revenir avec des lignes directrices claires pour présenter ces mesures complémentaires acceptables.
Que faire ?
Cesser tout transfert sans avoir de propositions concrètes des autorités de contrôle apparaît sans doute prématuré. Le risque réel n’a pas été démultiplié depuis l’arrêt SCHREMS II, la législation américaine existait auparavant. Aujourd’hui, le risque principal est juridique et européen.
Ainsi, dans la logique de responsabilité, il convient d’évaluer les transferts et de documenter… en attendant des lignes directrices. Il y a fort à parier que les autorités de contrôle adoptent une position raisonnée devant ce séisme juridique.
La même autorité du Baden Wurtemberg a indiqué qu’Office 365 de Microsoft n’est pas utilisable dans les conditions actuelles en vertu de la réglementation sur la protection des données. Cependant, elle a annoncé se rapprocher de Microsoft pour trouver des solutions. Les grands acteurs américains, premiers concernés par cette décision, prendront certainement des mesures pour apporter des garanties suffisantes pour respecter le droit européen dans le cadre des transferts sur la base des clauses type.
Ces clauses type constituent aujourd’hui l'un des seuls moyens de continuer les transferts massifs de données vers les USA.
En tant que responsable du traitement, vous pouvez demander à vos sous-traitants américains les mesures complémentaires mises en oeuvre afin de documenter votre conformité.
Et après ?
La Commission européenne a indiqué qu’une nouvelle version des clauses est à l’étude afin de prendre en compte les dispositions de l’arrêt SCHREMS II. D’après Margrethe Vestager, la vice Présidente exécutive de la Commission européenne en charge du digital, celles ci devraient voir le jour avant Nöel … en attendant un nouvel accord avec les USA ?