CE, ord. réf., 12 mars 2021, Doctolib, req. n° 450163 – Décision provisoire de référé
Lors de sa décision Doctolib, le Conseil d’État reconnaît l’incompatibilité du droit américain avec la protection des données à caractère personnel de l’Union européenne
Concernant les États-Unis, l’arrêt Schrems II (CJUE 16 juill. 2020, aff. C-311/18) a invalidé le Privacy Shield, équivalent d’une décision d’adéquation, qui permettait aux entreprises s’y soumettant d’exporter des données à caractère personnel vers les États-Unis. Le droit américain autorise en effet aux autorités publiques d’accéder aux données personnelles sans assurer aux personnes concernées des voies de recours effectives
La société Doctolib, qui propose un service de prise de rendez-vous médicaux en ligne, héberge ses données sur les serveurs d’une filiale d’Amazon Web Services (AWS), société de droit états-unienne. Dans le cadre de la campagne de vaccination contre la covid-19, Doctolib a été désignée par le ministère des Solidarités et de la santé pour gérer les prises de rendez-vous y afférent.
Le juge des référés du Conseil d’État a été saisi d’une demande de suspension de ce partenariat en ce qu’il méconnaîtrait le règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD).
Le juge rejette en ce que :
La société AWS Sarl, filiale luxembourgeoise d’AWS Inc., est certifiée « hébergeur de données de santé » (CSP, art. L. 1111-8). Les données sont hébergées dans des centres situés en France et en Allemagne et il n’est pas prévu au contrat d’éventuels transferts de données aux États-Unis pour des raisons techniques. Puisqu’AWS Sarl est une filiale d’une société américaine, elle peut faire l’objet d’une demande d’accès par les autorités publiques américaines, selon les requérants.
Données en cause. – Le Conseil d’État relève que « les données litigieuses comprennent les données d’identification des personnes et les données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination », les personnes devant simplement justifier leur éligibilité par une attestation sur l’honneur.
Durée de conservation. – Les données « sont supprimées au plus tard à l’issue d’un délai de trois mois à compter de la date de prise de rendez-vous, chaque personne concernée ayant créé un compte sur la plateforme pour les besoins de la vaccination pouvant le supprimer directement en ligne ».
Demande d’accès par les autorités publiques américaines. – Afin de sécuriser leurs relations, il est prévu au contrat qu’AWS devra contester « toute demande générale ou ne respectant pas la réglementation européenne ». Cette mesure s’accompagne d’un « dispositif de sécurisation des données hébergées par la société AWS par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers ».
> le niveau de protection ainsi mis en place par les parties « ne peut être regardé comme manifestement insuffisant au regard du risque de violation du RGPD ».
La portée de la décision est relative en ce qu’il s’agit une décision provisoire de référé qui sanctionne le « manifestement illicite » et qui pourrait donc être corrigée. A suivre.
CE, ord. réf., 13 oct. 2020, n° 444937
La CNIL autorise à regret l’hébergement des données de santé sur le cloud du géant américain Microsoft (CNIL, délibération 2023-146 du 21 déc. 2023)
Extraits :
« L’hébergeur retenu par le GIP PDS appartient à un groupe dont la société mère est située aux États-Unis et soumise au droit de cet État. De ce fait, en application de cette législation, les autorités états-uniennes sont susceptibles d’adresser à Microsoft des injonctions de communication des données qu’il héberge.
La législation des États-Unis, qui prévoit ces injonctions de communication de données, a été révisée récemment, à la suite de l’arrêt de la Cour de justice de l’Union européenne du 16 juillet 2020 (C-311/18) dit » Schrems II « , pour mieux les encadrer et prévoir des voies de recours plus effectives. Cette législation a été jugée conforme aux standards de protection européens, ce qui a permis l’adoption par la Commission européenne d’une nouvelle décision d’adéquation le 10 juillet 2023, reconnaissant que le nouveau cadre de transferts de données à caractère personnel entre les États-Unis et l’Union européenne, le Data Privacy Framework, assure un niveau de protection adéquat.
Il n’en reste pas moins que les données stockées par un hébergeur soumis à un droit extra-européen peuvent être exposées à un risque de communication à des puissances étrangères.
Si ce risque est le plus souvent acceptable, notamment s’agissant de pays adéquats, la CNIL recommande depuis longtemps, pour les bases de données les plus sensibles, d’assurer une protection contre les possibilités de divulgation à des autorités publiques de pays tiers. Cette protection implique que, d’une part, sauf exception ponctuelle (par exemple dans le cadre d’un projet de recherche international), les données hébergées dans l’Union européenne ne soient pas transférées en dehors de celle-ci et, d’autre part, de recourir à un prestataire exclusivement soumis au droit européen et offrant le niveau de protection adéquate, tel que prévu par le référentiel SecNumCloud de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). »
La condamnation de Meta à 1,2 milliard d’euros
L’autorité irlandaise de protection des données a condamné, le 12 mai 2023, l’américain Meta (réseau Facebook) pour un transfert illégal de données d’utilisateurs européens vers les États-Unis.
Metae a été condamnée à payer 1,2 milliard d’euros, une amende exceptionnelle, pour avoir continué le transfert de données d’utilisateurs européens de Facebook vers des serveurs localisés aux États-Unis, et a été enjointe de «suspendre tout transfert de données personnelles vers les États-Unis dans les cinq mois» suivant la notification de sa décision et de se mettre en conformité avec le RGPD dans les six mois. Meta va faire appel.
C’est en quelque sorte l’aboutissement du fameux contentieux Max Schrems, l’autrichien utilisateur de Facebook qui se plaignait que ses données soient à la merci des autorités gouvernementales américaines, puisque le droit américain leur permet l’accès aux données personnelles.
La justice européenne avait invalidé un premier accord régissant le transfert de données entre l’Europe et les États-Unis, le «Safe Harbor» en 2015, puis un second accord, le « Privacy Shield » en 2020. La Commission européenne espère finaliser un pacte sur le transfert de données avec les États-Unis cette année.
Les violations du RGPD par Meta « sont très graves puisqu’il s’agit de transferts systématiques, répétitifs et continus » (Andrea Jelinek, présidente de l’EDPB (la réunion des CNIL de l’UE). Il s’agit « d’un signal fort aux organisations que les infractions graves ont d’importantes conséquences », a-t-elle ajouté.
Les réticences initiales de l’autorité irlandaise
L’autorité irlandaise de protection des données, la Commission irlandaise de protection des données (DPC), est sous le feu des critiques. Dans un rapport publié le 15 mai 2023, le Conseil irlandais pour les libertés civiles (ICCL) accuse la DPC d’être un frein dans l’application du Règlement européen sur la protection des données (RGPD). L’organisation demande l’intervention de la Commission européenne pour réformer la DPC, mais le gouvernement irlandais refuse un audit indépendant.
La DPC est très sollicitée en raison de son rôle clé dans l’application du RGPD au sein de l’Union européenne. Plusieurs grandes entreprises technologiques, telles que Google, Meta (anciennement Facebook), Apple, Microsoft, TikTok, Airbnb et Twitter, ont établi leur siège européen en Irlande pour bénéficier d’avantages fiscaux. La DPC est donc l’autorité compétente pour superviser ces entreprises en matière de protection des données.
De plus, le RGPD a instauré un mécanisme de « guichet unique » qui permet aux entreprises opérant dans plusieurs pays de l’UE de ne traiter qu’avec une seule autorité de contrôle. En tant que guichet unique, la DPC est responsable de la coordination des enquêtes et des actions de mise en conformité concernant ces entreprises basées en Irlande, même si elles exercent leurs activités dans d’autres pays de l’UE.
Cependant, cette sollicitation accrue a également suscité des critiques quant à l’efficacité et à l’indépendance de la DPC dans l’application du RGPD. Le rapport de l’ICCL accuse l’autorité irlandaise de protection des données d’être un obstacle à l’application du RGPD. Selon le rapport, l’Europe n’est toujours pas en mesure de contrôler l’utilisation des données par les grandes entreprises technologiques.
Les autorités européennes ont examiné près de 400 cas liés au RGPD entre mai 2018 et décembre 2022, mais seules 28 amendes ont été imposées et 49 mises en demeure ont été prononcées. L’ICCL déplore que la plupart des affaires se soldent par de simples réprimandes. Le cas emblématique concerne les pratiques de Meta (anciennement Facebook) concernant le consentement des utilisateurs pour l’utilisation de leurs données à des fins publicitaires.
Initialement, la DPC envisageait une amende de 28 à 36 millions d’euros, mais le Comité européen de la protection des données (CEPD) a finalement imposé une amende de 390 millions d’euros à Meta. La DPC a défendu son bilan en soulignant que deux tiers des amendes en Europe ont été émis après des enquêtes approfondies. En 2022, la DPC a conclu 17 enquêtes majeures, aboutissant à cinq amendes d’un montant total de 1,1 milliard d’euros, principalement à l’encontre de Meta.
En somme, la DPC est sous pression pour améliorer son efficacité et son indépendance dans l’application du RGPD. Les grandes entreprises technologiques doivent respecter les règles en matière de protection des données et être sanctionnées en cas de non-respect. La Commission européenne devra prendre des mesures pour garantir que les autorités de protection des données dans toute l’Europe sont capables de faire respecter les règles en matière de protection des données.