Transfert de données : l’évaluation nécessaire des législations étrangères ?

 

 

Le Comité européen de la protection des données (CEPD) donne son cadre pour être en conformité avec le RGPD en cas de transfert de données hors de l’Union européenne.

Recommendations 01/2020 on measures that
supplement transfer tools to ensure compliance with
the EU level of protection of personal data
Version 2.0
Adopted on 18 June 2021.

 https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_fr

On pouvait s’attendre à ce que ce cadre allège les formalités contractuelles des entreprises (Binding Corporate Rules) en matière de transfert de données hors Union Européenne.

Mais il ressort de ce cadre que l’examen minutieux des législations étrangères reste nécessaire, comme le préconise l’arrêt Schrems II (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311), dès qu’une zone territoriale est identifiée comme incertaine par les autorités européennes : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde

En effet, un Etat souverain peut dans tous les cas accéder aux données, sur demande spécifique : seule une demande générale d’accès aux données pourrait être contestée sur le plan des principes.

Il revient donc en premier lieu à l’exportateur de données, dans un exercice périlleux d’évaluation, de vérifier les législations étrangères. Le Comité donne une liste de sources de données à l’annexe III de ses recommandations.

Les nouvelles Clauses Contractuelles Types (« CCT ») (adoptées par la Commission européenne le 4 juin 2021 et publiées le 7 juin 2021, qui entreront en vigueur le 27 juin 2021, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr) ne dispensent pas de cet exercice.

La décision provisoire Doctolib peut donner des indices sur la façon de sécuriser un transfert de données : localisation et chiffrement en France, obligation de contestation par la filiale européenne de la demande « générale » étrangère, données peu sensibles, durée courte de conservation des données : https://roquefeuil.avocat.fr/2021/04/transfert-de-donnees-sur-un-cloud.html 

Voir aussi :

Transfert de données sur un cloud étranger : la décision Doctolib

Les nouvelles lignes directrices et recommandations CNIL en matière de cookies et de traceurs de tout type.

Atteintes aux traitements automatisés de données

 

Droit informatique

Transfert de données sur un cloud étranger : la décision Doctolib

CE, ord. réf., 12 mars 2021, Doctolib, req. n° 450163 – Décision provisoire de référé

Lors de sa décision Doctolib, le Conseil d’État reconnaît l’incompatibilité du droit américain avec la protection des données à caractère personnel de l’Union européenne

Concernant les États-Unis, l’arrêt Schrems II (CJUE 16 juill. 2020, aff. C-311/18) a invalidé le Privacy Shield, équivalent d’une décision d’adéquation, qui permettait aux entreprises s’y soumettant d’exporter des données à caractère personnel vers les États-Unis. Le droit américain autorise en effet aux autorités publiques d’accéder aux données personnelles sans assurer aux personnes concernées des voies de recours effectives

La société Doctolib, qui propose un service de prise de rendez-vous médicaux en ligne, héberge ses données sur les serveurs d’une filiale d’Amazon Web Services (AWS), société de droit états-unienne. Dans le cadre de la campagne de vaccination contre la covid-19, Doctolib a été désignée par le ministère des Solidarités et de la santé pour gérer les prises de rendez-vous y afférent.

Le juge des référés du Conseil d’État a été saisi d’une demande de suspension de ce partenariat en ce qu’il méconnaîtrait le règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD).

Le juge rejette en ce que :

La société AWS Sarl, filiale luxembourgeoise d’AWS Inc., est certifiée « hébergeur de données de santé » (CSP, art. L. 1111-8). Les données sont hébergées dans des centres situés en France et en Allemagne et il n’est pas prévu au contrat d’éventuels transferts de données aux États-Unis pour des raisons techniques. Puisqu’AWS Sarl est une filiale d’une société américaine, elle peut faire l’objet d’une demande d’accès par les autorités publiques américaines, selon les requérants.

Données en cause. – Le Conseil d’État relève que « les données litigieuses comprennent les données d’identification des personnes et les données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination », les personnes devant simplement justifier leur éligibilité par une attestation sur l’honneur.

Durée de conservation. – Les données « sont supprimées au plus tard à l’issue d’un délai de trois mois à compter de la date de prise de rendez-vous, chaque personne concernée ayant créé un compte sur la plateforme pour les besoins de la vaccination pouvant le supprimer directement en ligne ».

Demande d’accès par les autorités publiques américaines. – Afin de sécuriser leurs relations, il est prévu au contrat qu’AWS devra contester « toute demande générale ou ne respectant pas la réglementation européenne ». Cette mesure s’accompagne d’un « dispositif de sécurisation des données hébergées par la société AWS par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers ».

> le niveau de protection ainsi mis en place par les parties « ne peut être regardé comme manifestement insuffisant au regard du risque de violation du RGPD ».

La portée de la décision est relative en ce qu’il s’agit une décision provisoire de référé qui sanctionne le « manifestement illicite » et qui pourrait donc être corrigée. A suivre.

V.aussi
CNIL, délib. n° 2020-044 du 20 avr. 2020 et communiqué de presse du 14 oct. 2020
CE, ord. réf., 13 oct. 2020, n° 444937
Le cabinet Roquefeuil offre des services d’analyse juridique RGPD et d’accompagnement à la conformité en partenariat avec des agences de certification.

Voir aussi :

Transfert de données : l’évaluation nécessaire des législations étrangères ?

On te lynchera : Droit à l’oubli et droit de réponse sur internet, l’avocat en droit de la presse à Paris répond

Le profilage par les moteurs de recherche, ce fléau des temps moderne – Big Brother is Watching You

A l’heure des réseaux sociaux et des plateaux télé vociférant où l’on vient avec ses sentiments en bandoulière, le droit de réponse est souvent présenté comme le rempart absolu contre l’usage excessif de la liberté d’expression, permettant à quiconque est visé dans un article publié d’exiger la publication d’un correctif. Les choses sont cependant à relativiser. Typiquement le profilage des personnes et des entreprises par les moteurs de recherche, très épris de la liberté d’expression à l’américaine, la sauvage « freedom of speech » de la constitution des USA, ne permet aucun droit de réponse et stigmatise réellement ce qui en sont victime.

 

L’absence d’un droit de réponse contre les moteurs de recherche

Sur internet, le droit de réponse est régi par :

L’article 6-IV de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique

Le décret 2007-1527 du 24 octobre 2007 relatif au droit de réponse applicable aux services de communication au public en ligne et pris pour l’application du IV de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique
 
L’article 13 de la loi du 29 juillet 1881 sur la liberté de la presse

Les moteurs de recherche voient en général d’un bon œil ce qui peut s’apparenter à du dialogue et à de la critique constructive, ou ce qui renforce et finalement légitime un avis négatif, telle une réponse.

Selon les principes de e-réputation, l’insertion d’une réponse a néanmoins un effet contre-productif en ce sens où elle aurait tendance à augmenter le référencement de la publication que l’on veut précisément combattre.

Toutefois, ce droit de réponse reste souvent le seul moyen de combattre rapidement les dénigrements et les diffamations, les atteintes à la vie privée, en attendant mieux, quand il existe un moyen pour la personne visée de répliquer directement, en ligne, à l’avis. (Malheur : pas de droit de réponse contre les moteurs de recherche qui indexent les contenus défavorables et dont pourtant le pouvoir de nuisance est bien plus important).

Ce d’autant plus que les recours restent si laborieux pour le commun des mortels.

Consultez un avocat spécialisé en droit de la communication à Paris

Le palliatif du « droit à l’oubli »

L’arrêt Costeja (Cour de justice de l’Union Européenne, 13 mai 2014, Costeja / Google Spain, C-131/12) pourra éventuellement être opposé aux moteurs de recherche pour obtenir un déréférencement  (« droit à l’oubli »), et par référence aux articles 17  et 85 du règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)(RGPD), et à l’article 80 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

L’arrêt Costeja permet de poursuivre les référencements faits par les moteurs de recherche, étant donné qu’ils permettent d’établir le profil d’une personne par une recherche sur son nom, en indexant les pages qui mentionnent ce nom. Ce traitement informatique effectué par le moteur est visé par l’article 17 du RGPD (« droit à l’oubli » ou « droit à l’effacement ») et développé à l’article 51 de la loi informatique et liberté, qui réserve l’exercice de la liberté d’expression.

Ce déréférencement n’est pas automatique. Il permet à une personne stigmatisée de réclamer à un moteur de recherche que certains contenus la concernant ne soit plus fléchés par le moteur. Elle doit s’appuyer sur des raisons valables (arrêt de la CJUE du 24 septembre 2019, arrêts du conseil d’État du 6 décembre 2019 et du 27 mars 2020, Cour de cassation, Chambre civile 1, 27 novembre 2019, 18-14.675, Publié au bulletin, pôle 1), ou sur la protection de la vie privée.

En ce qui concerne le thème de la protection des données personnelles face à la liberté d’expression, on notera :

L’article 85 du RGPD renvoie à la loi de chaque Etat membre en ce qui concerne la conciliation du droit à la protection des données personnelles avec la liberté d’expression.

A ce sujet, l’article 80, 2°, de la loi informatique et libertés, dans sa version du 1er juin 2019 résultant de l’ordonnance n°2018-1125 du 12 décembre 2018, article 1, maintient la restriction du droit de protection des données personnelles face à la liberté d’expression seulement en ce que celle-ci est exercée par un journaliste professionnel…et Google, dans son activité de moteur de recherche (« Google Search ») ne fait pas œuvre de journalisme, mais d’indexeur. Il est d’ailleurs redevable envers les contenus journalistiques qu’il indexe (cf.directive DIRECTIVE (UE) 2019/790 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique et modifiant les directives 96/9/CE et 2001/29/CE,  article 17).

L’article 21 paragraphe 1 du RGPD permet à chacun d’invoquer une situation particulière, liée à son parcours personnel, pour s’opposer à un traitement de ses données personnelles (« droit d’opposition », visé aussi par l’article 56 de la loi informatique et libertés).

***

Voir aussi

Se faire assister par un avocat spécialisé en droit de la presse à Paris :

Cabinet Roquefeuil avocats

2021 : DSA – DMA – La nouvelle réglementation d’Internet en préparation : remarques sur les projets de l’Union Européenne

Mis à jour 17 février 2022

 
Dans le cadre de la stratégie numérique européenne, intitulée « Façonner l’avenir numérique de l’Europe », il a été annoncé que la Commission européenne moderniserait les règles régissant les services numériques dans l’UE. La Commission européenne a proposé deux initiatives législatives : le règlement sur les services numériques (DSA) et le règlement sur les marchés numériques (DMA).https://ec.europa.eu/digital-single-market/en/digital-services-act-package

La DSA et la DMA poursuivent des objectifs distincts :

 

La DSA

 

Son objectif est de contribuer à un espace numérique plus sûr dans lequel les droits fondamentaux des utilisateurs de services numériques sont protégés, au delà des règlementations « consommation » de biens et de services, pour englober les aspects liés à la diffusion de l’information ou du contenu numérique en général.

Ce règlement complètera et amendera la directive actuelle (directive sur le commerce électronique 2000/31 https://eur-lex.europa.eu/legal-content/fr/ALL/?uri=celex:32000L0031) – il s’agit de faciliter les retraits de contenus illicites tout en préservant la liberté d’expression.

Le régime de responsabilité limitée de l’hébergeur perdure, il est cependant attendu de lui beaucoup plus d’implication et de transparence dans les processus de retrait ou de remise en ligne de contenus (articles 14 et 15 notamment).

Sur le projet de transposition en France du volet « haine en ligne » voir la mise à jour de l’article :

Le projet de loi Avia contre la haine sur Internet, en quelques points

 

 

La DMA

 

Son objectif est d’établir des conditions de concurrence équitables pour favoriser l’innovation, la croissance et la compétitivité, tant dans le marché unique européen que dans le monde. Ce règlement complètera le règlement platform to business 2019/1150 (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32019R1150). Il s’agit de limiter l’effet anti-concurrentiel des gatekeepers.Ces règlements s’appliqueront uniformément et directement sans qu’une transposition en droit national soit nécessaire.Le but global est de discipliner les GAFAM (Google, Amazon, Facebook, Apple, Microsoft) et les autres grands acteurs de l’internet, d’éviter les dévoiements, d’assurer la loyauté de l’information et du commerce.Une disposition majeure, assez récente en droit de l’Union : ces règlements s’appliqueront aux entreprises étrangères opérant dans l’Union, et celle-ci devront désigner un représentant dans l’Union, apte à soumettre ladite entreprise aux procédures administratives ou judiciaires diligentées dans les Etats membres, sans la contrainte d’avoir à diligenter des procédures en dehors desdits Etats, ou à subir des règles autres que celles du droit de l’Union.Une incertitude sur le DMA : il est applicable sans préjudice de l’application des règles européennes et nationales existantes, et risque ainsi de se réduire à peau de chagrin.Voir aussi : Droit de la consommation, Droit de la concurrence

 

Réforme du droit de la consommation :

Modification des directives :
https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32019L2161&from=FR

Ordonnance de transposition :
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000044546235

****************************************************************************************

Le droit de rétractation

Remarques sur l’interprétation du contrat

Les conditions générales, servent-elles encore à quelque chose ?

Peut-on faire juger en France son fournisseur étranger ?

Les clauses abusives

Le nouvel article 6.I.8 LCEN pour un retrait plus dynamique des contenus en ligne

Faire retirer un avis négatif

 

*********************************************************************************************************

Voir aussi : Haine en ligne

 

 

Voir : décret 2022-32 du 14 janvier 2022 (obligations des plateformes contre les contenus haineux)

D. n° 2022-32, 14 janv. 2022 pris pour l’application de l’article 42 de la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République et relatif à la fixation d’un seuil de connexions à partir duquel les opérateurs de plateformes en ligne concourent à la lutte contre la diffusion publique des contenus illicites

 

Se faire conseiller par un avocat en droit des plateformes et de la promotion commerciale, droit de la consommation, à Paris :

Roquefeuil avocats, Paris

Se faire assister par un avocat spécialisé en droit de la communication à Paris :

Cabinet Roquefeuil avocats

Les nouvelles lignes directrices et recommandations CNIL en matière de cookies et de traceurs de tout type.

Les lignes directrices (délibération 2020-091) et les recommandations CNIL (délibération 2020-092) du 17 septembre 2020 viennent préciser les règles en matière de consentement, dans le prolongement de la directive ePrivacy (2002/58/CE) et des lignes directrices du Comité européen de la protection des données du 4 mai 2020 (5/2020), du RGPD et de l’article 82 de la loi Informatiques et Libertés, des précédenntes délibérations CNIL et des décisions du Conseil d’Etat.

Les traceurs non purement techniques doivent faire l’objet d’une information et d’un consentement. C’est le principe exposé à l’article 82 de la loi Informatique et Libertés.

Cela concerne en particulier les “cookies HTTP, par lesquels ces actions de lecture ou écriture sont le plus souvent réalisées, mais également d’autres technologies telles que les « local shared objects » appelés parfois les « cookies Flash », le « local storage » mis en œuvre au sein du standard HTML 5, les identifications par calcul d’empreinte du terminal ou « fingerprinting », les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d’un appareil), etc”.

Les lignes directrices précisent que ce principe s’applique indépendamment du fait que les données collectées soient à caractère personnel ou non, sans bien entendu exclure le RGPD et la loi Informatique et Liberté qui restent applicables et prioritaires sur le sujet des données à caractère personnel – “parfois directement identifiantes (par exemple, une adresse électronique) et souvent indirectement identifiantes (par exemple, l’identifiant unique associé à un cookie, une adresse IP, un identifiant du terminal ou d’un composant du terminal de l’utilisateur, le résultat du calcul d’empreinte dans le cas d’une technique de « fingerprinting », ou encore un identifiant généré par un logiciel ou un système d’exploitation)”.

Responsables conjoints :

L’ensemble des acteurs qui interviennent sur des traceurs de mesure d’audience qui traitent de données personnelles sont considérés comme responsables conjoints, et doivent respecter la règlementation française.

“Le Conseil d’Etat a jugé, dans sa décision du 6 juin 2018, qu’au titre des obligations qui pèsent sur l’éditeur de site, figurent celle de s’assurer auprès de ses partenaires, d’une part, qu’ils n’émettent pas, par l’intermédiaire du site de l’éditeur, des traceurs qui ne respectent pas la règlementation applicable en France et, d’autre part, celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements”.

En matière de sous-traitance :

“La Commission rappelle que l’éditeur d’un site qui dépose des traceurs doit être considéré comme un responsable de traitement, y compris lorsqu’il sous-traite à des tiers la gestion de ces traceurs mis en place pour son propre compte”, et “qu’un acteur qui stocke et/ou accède à des informations stockées dans l’équipement terminal d’un utilisateur exclusivement pour le compte d’un tiers doit être considéré comme sous-traitant. Elle rappelle, à cet égard, que si une relation de sous-traitance est établie, le responsable de traitement et le sous-traitant doivent établir un contrat ou un autre acte juridique précisant les obligations de chaque partie, dans le respect des dispositions de l’article 28 du RGPD”.

Consentement :

La CNIL indique que « les possibilités de paramétrage des navigateurs et des systèmes d’exploitation ne peuvent, à eux seuls, permettre à l’utilisateur d’exprimer un consentement valide ».

Sur les cookies walls (l’utilisateur ne peut accéder au site s’il n’accepte pas les cookies), la CNIL indique que la méthode est licite mais qu’elle ne devrait pas dispenser qu’une information précise soit fournie sur les différentes finalités poursuivies par les traitements effectués, et recommande ainsi, à l’instar de ce qu’on peut déjà voir sur certains sites, qu’une information de second niveau soit fournie, permettant à l’utilisateur de personnaliser ses choix.

Une acceptation globale des conditions générales d’utilisation du site ne respecte pas le principe du consentement spécifique.

Le consentement suppose une action positive. La simple poursuite de la navigation ou l’utilisation de cases pré-cochées par défaut sont insuffisantes. Il ne s’agit pas toutefois de gêner la navigation. Le refus et le retrait du consentement doivent être facilités.

Les lignes directrices et les recommandations donnent des suggestions, des indications, des exemples.

Preuve :

La recommandation suggère des solutions en matière de conservation de la preuve du consentement, par exemple, “les différentes versions du code informatique utilisé par l’organisme recueillant le consentement peuvent être mises sous séquestre auprès d’un tiers, ou, plus simplement, un condensat (ou « hash ») de ce code peut être publié de façon horodatée sur une plate-forme publique, pour pouvoir prouver son authenticité a posteriori”.

Lignes directrices
Recommandation

Voir aussi :

Réforme des données personnelles : comment se mettre en conformité ?

Transfert de données sur cloud étranger : la décision doctolib

Transfert de données : l’évaluation des législations étrangères

https://www.cnil.fr/fr/cookies-la-cnil-sanctionne-google-hauteur-de-150-millions-deuros-et-facebook-hauteur-de-60-millions#:~:text=de%20la%20loi-,Cookies%20%3A%20la%20CNIL%20sanctionne%20GOOGLE%20%C3%A0%20hauteur%20de%20150%20millions,non%2Drespect%20de%20la%20loi&text=En%20revanche%2C%20ils%20ne%20mettent,le%20d%C3%A9p%C3%B4t%20de%20ces%20cookies.

 

 

 

 

Consultez un avocat en droit informatique et du numérique :

Roquefeuil avocats, Paris