Transferts de données

Transfert de données : l’évaluation nécessaire des législations étrangères ?

par Cabinet Roquefeuil | Juil 9, 2021

Mise à jour 2 novembre 2022

Le Comité européen de la protection des données (CEPD) donne son cadre pour être en conformité avec le RGPD en cas de transfert de données hors de l’Union européenne.

Recommendations 01/2020 on measures that
supplement transfer tools to ensure compliance with
the EU level of protection of personal data
Version 2.0
Adopted on 18 June 2021.

https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_fr

On pouvait s’attendre à ce que ce cadre allège les formalités contractuelles des entreprises (Binding Corporate Rules ou Clauses contractuelles type) en matière de transfert de données hors Union Européenne.

Mais il ressort de ce cadre que l’examen minutieux des législations étrangères reste nécessaire, comme le préconise l’arrêt Schrems II (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311), dès qu’une zone territoriale est identifiée comme incertaine par les autorités européennes : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde,

Sauf à rentrer dans les dérogations prévues par l’article 49 du RGPD.

En effet, un Etat souverain peut dans tous les cas accéder aux données, sur demande spécifique : seule une demande générale d’accès aux données pourrait être contestée sur le plan des principes.

En ce qui concerne les transferts de données vers les Etats-Unis, il n’existe toujours pas de décision d’adéquation par la Commission Européenne, après les arrêts CJUE dits Schrems I du 6 octobre 2015 (C-362/14) (invalidation du Safe Harbour) et Schrems II du 16 juillet 2020 (C-311/18) (invalidation du Privacy Shield). La législation US reflète en effet une conception de la vie privée centrée sur la protection du citoyen américain n’incluant pas les étrangers, qui n’est pas celle, universaliste, de l’Union Européenne.

Le 4ème amendement de la Constitution des Etats-Unis prévoit en effet : « Le droit des citoyens d’être garantis dans leur personne, leur domicile, leurs papiers et leurs effets contre les perquisitions et saisies non motivées ne sera pas violé et il ne sera émis aucun mandat si ce n’est sur présomption sérieuse, corroborée par serment ou déclaration solennelle et décrivant avec précision le lieu à perquisitionner et les personnes ou choses à saisir. »

Malgré les efforts de rapprochement (cf.le récent executive order de Joe Biden du 7 octobre 2022 prévoyant bien le recours à un délégué du pouvoir exécutif et même à une cour indépendante mais dont les avis n’ont pas de force exécutoire), la législation américaine prévoit toujours la surveillance de masse et l’absence de recours effectifs en ce qui concerne les droits des personnes concernées par un traitement de données.

Il revient donc en premier lieu à l’exportateur de données, dans un exercice périlleux d’évaluation, de vérifier les législations étrangères. Le Comité donne une liste de sources de données à l’annexe III de ses recommandations.

Les nouvelles Clauses Contractuelles Types (« CCT ») (adoptées par la Commission européenne le 4 juin 2021 et publiées le 7 juin 2021, qui entreront en vigueur le 27 juin 2021, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr) ne dispensent pas de cet exercice.

La décision provisoire Doctolib peut donner des indices sur la façon de sécuriser un transfert de données : localisation et chiffrement en France, obligation de contestation par la filiale européenne de la demande « générale » étrangère, données peu sensibles, durée courte de conservation des données : https://roquefeuil.avocat.fr/2021/04/transfert-de-donnees-sur-un-cloud.html

La décision Doctolib sur le transfert des données

Transfert de données sur un cloud étranger : la décision Doctolib

par Cabinet Roquefeuil | Mai 12, 2021

Mise à jour 5 juin 2023 : Meta à l’amende pour non respect du RGPD – cliquer ici

CE, ord. réf., 12 mars 2021, Doctolib, req. n° 450163 – Décision provisoire de référé

Lors de sa décision Doctolib, le Conseil d’État reconnaît l’incompatibilité du droit américain avec la protection des données à caractère personnel de l’Union européenne

Concernant les États-Unis, l’arrêt Schrems II (CJUE 16 juill. 2020, aff. C-311/18) a invalidé le Privacy Shield, équivalent d’une décision d’adéquation, qui permettait aux entreprises s’y soumettant d’exporter des données à caractère personnel vers les États-Unis. Le droit américain autorise en effet aux autorités publiques d’accéder aux données personnelles sans assurer aux personnes concernées des voies de recours effectives

La société Doctolib, qui propose un service de prise de rendez-vous médicaux en ligne, héberge ses données sur les serveurs d’une filiale d’Amazon Web Services (AWS), société de droit états-unienne. Dans le cadre de la campagne de vaccination contre la covid-19, Doctolib a été désignée par le ministère des Solidarités et de la santé pour gérer les prises de rendez-vous y afférent.

Le juge des référés du Conseil d’État a été saisi d’une demande de suspension de ce partenariat en ce qu’il méconnaîtrait le règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD).

Le juge rejette en ce que :

La société AWS Sarl, filiale luxembourgeoise d’AWS Inc., est certifiée « hébergeur de données de santé » (CSP, art. L. 1111-8). Les données sont hébergées dans des centres situés en France et en Allemagne et il n’est pas prévu au contrat d’éventuels transferts de données aux États-Unis pour des raisons techniques. Puisqu’AWS Sarl est une filiale d’une société américaine, elle peut faire l’objet d’une demande d’accès par les autorités publiques américaines, selon les requérants.

Données en cause. – Le Conseil d’État relève que « les données litigieuses comprennent les données d’identification des personnes et les données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination », les personnes devant simplement justifier leur éligibilité par une attestation sur l’honneur.

Durée de conservation. – Les données « sont supprimées au plus tard à l’issue d’un délai de trois mois à compter de la date de prise de rendez-vous, chaque personne concernée ayant créé un compte sur la plateforme pour les besoins de la vaccination pouvant le supprimer directement en ligne ».

Demande d’accès par les autorités publiques américaines. – Afin de sécuriser leurs relations, il est prévu au contrat qu’AWS devra contester « toute demande générale ou ne respectant pas la réglementation européenne ». Cette mesure s’accompagne d’un « dispositif de sécurisation des données hébergées par la société AWS par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers ».

> le niveau de protection ainsi mis en place par les parties « ne peut être regardé comme manifestement insuffisant au regard du risque de violation du RGPD ».

La portée de la décision est relative en ce qu’il s’agit une décision provisoire de référé qui sanctionne le « manifestement illicite » et qui pourrait donc être corrigée. A suivre.

V.aussi

CNIL, délib. n° 2020-044 du 20 avr. 2020 et communiqué de presse du 14 oct. 2020
CE, ord. réf., 13 oct. 2020, n° 444937

Transfert de données : l’évaluation nécessaire des législations étrangères ?

Le cabinet Roquefeuil offre des services d’analyse juridique RGPD et d’accompagnement à la conformité en partenariat avec des agences de certification.

La condamnation de Meta à 1,2 milliard d’euros

L’autorité irlandaise de protection des données a condamné, le 12 mai 2023, l’américain Meta (réseau Facebook) pour un transfert illégal de données d’utilisateurs européens vers les États-Unis.

Metae a été condamnée à payer 1,2 milliard d’euros, une amende exceptionnelle, pour avoir continué le transfert de données d’utilisateurs européens de Facebook vers des serveurs localisés aux États-Unis, et a été enjointe de «suspendre tout transfert de données personnelles vers les États-Unis dans les cinq mois» suivant la notification de sa décision et de se mettre en conformité avec le RGPD dans les six mois. Meta va faire appel.

C’est en quelque sorte l’aboutissement du fameux contentieux Max Schrems, l’autrichien utilisateur de Facebook qui se plaignait que ses données soient à la merci des autorités gouvernementales américaines, puisque le droit américain leur permet l’accès aux données personnelles.

La justice européenne avait invalidé un premier accord régissant le transfert de données entre l’Europe et les États-Unis, le «Safe Harbor» en 2015, puis un second accord, le « Privacy Shield » en 2020. La Commission européenne espère finaliser un pacte sur le transfert de données avec les États-Unis cette année.

Les violations du RGPD par Meta « sont très graves puisqu’il s’agit de transferts systématiques, répétitifs et continus » (Andrea Jelinek, présidente de l’EDPB (la réunion des CNIL de l’UE). Il s’agit « d’un signal fort aux organisations que les infractions graves ont d’importantes conséquences », a-t-elle ajouté.

Les réticences initiales de l’autorité irlandaise

L’autorité irlandaise de protection des données, la Commission irlandaise de protection des données (DPC), est sous le feu des critiques. Dans un rapport publié le 15 mai 2023, le Conseil irlandais pour les libertés civiles (ICCL) accuse la DPC d’être un frein dans l’application du Règlement européen sur la protection des données (RGPD). L’organisation demande l’intervention de la Commission européenne pour réformer la DPC, mais le gouvernement irlandais refuse un audit indépendant.

La DPC est très sollicitée en raison de son rôle clé dans l’application du RGPD au sein de l’Union européenne. Plusieurs grandes entreprises technologiques, telles que Google, Meta (anciennement Facebook), Apple, Microsoft, TikTok, Airbnb et Twitter, ont établi leur siège européen en Irlande pour bénéficier d’avantages fiscaux. La DPC est donc l’autorité compétente pour superviser ces entreprises en matière de protection des données.

De plus, le RGPD a instauré un mécanisme de « guichet unique » qui permet aux entreprises opérant dans plusieurs pays de l’UE de ne traiter qu’avec une seule autorité de contrôle. En tant que guichet unique, la DPC est responsable de la coordination des enquêtes et des actions de mise en conformité concernant ces entreprises basées en Irlande, même si elles exercent leurs activités dans d’autres pays de l’UE.

Cependant, cette sollicitation accrue a également suscité des critiques quant à l’efficacité et à l’indépendance de la DPC dans l’application du RGPD. Le rapport de l’ICCL accuse l’autorité irlandaise de protection des données d’être un obstacle à l’application du RGPD. Selon le rapport, l’Europe n’est toujours pas en mesure de contrôler l’utilisation des données par les grandes entreprises technologiques.

Les autorités européennes ont examiné près de 400 cas liés au RGPD entre mai 2018 et décembre 2022, mais seules 28 amendes ont été imposées et 49 mises en demeure ont été prononcées. L’ICCL déplore que la plupart des affaires se soldent par de simples réprimandes. Le cas emblématique concerne les pratiques de Meta (anciennement Facebook) concernant le consentement des utilisateurs pour l’utilisation de leurs données à des fins publicitaires.

Initialement, la DPC envisageait une amende de 28 à 36 millions d’euros, mais le Comité européen de la protection des données (CEPD) a finalement imposé une amende de 390 millions d’euros à Meta. La DPC a défendu son bilan en soulignant que deux tiers des amendes en Europe ont été émis après des enquêtes approfondies. En 2022, la DPC a conclu 17 enquêtes majeures, aboutissant à cinq amendes d’un montant total de 1,1 milliard d’euros, principalement à l’encontre de Meta.

En somme, la DPC est sous pression pour améliorer son efficacité et son indépendance dans l’application du RGPD. Les grandes entreprises technologiques doivent respecter les règles en matière de protection des données et être sanctionnées en cas de non-respect. La Commission européenne devra prendre des mesures pour garantir que les autorités de protection des données dans toute l’Europe sont capables de faire respecter les règles en matière de protection des données.