L’invalidation du Privacy Shield le 16 juillet 2020 par la Cour de Justice de l’Union européenne -ou “CJUE”- (voir ici notre article au sujet de l’arrêt dit « Schrems II »), et la position de cette dernière selon laquelle l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission européenne, lorsqu’à la lumière de l’ensemble des circonstances propres à ce transfert ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union ne peut pas être assurée par d’autres moyens, amène les organismes traitant des données à caractère personnel à revoir leur politique en matière de transferts de données à caractère personnel vers des Etats hors Union européenne, en particulier vers les Etats-Unis.
En effet, cette décision soulève des difficultés sur le plan juridique mais également sur le plan pratique pour l’ensemble des parties prenantes. Aussi, il est opportun de suivre de près les évolutions en la matière, et notamment de s’intéresser aux premiers retentissements de cette décision.
Rappel sur la portée de l’arrêt rendu par la Cour de Justice de l’Union européenne
Pour mémoire, il n’est plus possible désormais de considérer que l’adhésion au Privacy Shield permet d’encadrer conformément aux textes applicables les flux transfrontières vers les Etats-Unis, et ce alors même que nombre d’organismes s’appuyaient bien souvent sur leur adhésion au Privacy Shield pour justifier de garanties appropriées encadrant les flux transfrontières qu’ils mettent en œuvre vers les Etats-Unis.
Par ailleurs, la Cour est venue préciser que les clauses contractuelles types émises par l’Union européenne ne sont pas nécessairement suffisantes pour encadrer de tels flux transfrontières et qu’il convient parfois, en fonction des législations des pays destinataires, de prendre des mesures de sécurité complémentaires pour assurer un encadrement conforme de ces flux transfrontières de données, mesures qui à date sont toujours en cours de réflexion par les autorités de contrôle, ce dont il résulte une incertitude et un risque juridique à recourir à des outils / applications mettant en œuvre des flux transfrontières de données à caractère personnel, en particulier vers les Etats-Unis. A ce jour, les mesures complémentaires devant être préconisées par les autorités de contrôle demeurent donc plus qu’attendues pour pouvoir encadrer de tels transferts.
Aussi, dans cette attente, il semble qu’il convienne, dans l’hypothèse d’un transfert hors Union européenne, et en cas d’impossibilité de garantir un niveau de protection des données à caractère personnel essentiellement équivalent à celui garantit par le droit de l’Union européenne, de suspendre ou mettre fin à ces transferts.
Le dépôt de 101 recours par l’association NOYB (None Of Your Business)
L’association NOYB (None Of Your Business), fondée notamment par Maximillian Schrems, a annoncé le 17 août 2020 avoir déposé une centaine de recours devant des autorités de contrôle européennes contre des entreprises qu’elle accuse de continuer à transférer de manière illicite des données à caractère personnel vers les Etats-Unis, en particulier en raison de leur utilisation des outils “Google Analytics” ou “Facebook Connect”, en violation de la règlementation applicable en matière de protection des données à caractère personnel. Des recours fondés sur l’illicéité de tels transferts ont également été déposés contre Google et Facebook par l’association NOYB.
Si l’association NOYB a déclaré que de tels recours ont été conçus « comme un signal d’alarme », elle précise également que seule une très faible proportion d’entités visées par ces recours aurait mis fin depuis à de tels transferts vers les Etats-Unis. Elle a également d’ores et déjà indiqué qu’elle prévoit d’« augmenter progressivement la pression sur les entreprises européennes et américaines pour qu’elles revoient leurs accords de transfert de données et s’adaptent à la décision claire de la Cour suprême de l’UE ».
Affaires à suivre…
L’épineuse question de l’hébergement du Health Data Hub
Créé en novembre 2019, le « Health Data Hub » est une plateforme destinée à faciliter le partage des données de santé issues de sources très variées afin de favoriser la recherche et dont les missions sont encadrées par le Code de la santé publique.
La Commission nationale de l’informatique et des libertés (« Cnil ») s’était d’ailleurs prononcée sur sa mise en œuvre anticipée en avril 2020 pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur la COVID-19. Dans son avis du 20 avril 2020, la Cnil avait notamment attiré l’attention sur les éventuels risques matériels et juridiques en matière d’accès direct aux données à caractère personnel par les autorités des Etats-Unis, risques liés au fait que le Health Data Hub était hébergé par un acteur soumis au droit américain.
Le dispositif n’a pas cessé de faire l’objet de controverses puisque plusieurs associations, syndicats et requérants individuels ont demandé au Conseil d’Etat, statuant en urgence dans le cadre d’un référé-liberté, de suspendre le traitement des données réalisé au moyen du Health Data Hub en raison des risques liés aux possibles transferts de données vers les Etats-Unis.
Dans sa décision rendue le 16 octobre 2020, le Conseil d’Etat a relevé que le Health Data Hub et l’hébergeur de cette plateforme s’étaient contractuellement engagés à refuser tout transfert de données de santé en dehors de l’Union européenne et qu’un arrêté ministériel interdisait également de tels transferts dans le cadre de ce contrat. Aussi, le Conseil d’Etat a considéré qu’il n’y avait pas d’illégalité grave et manifeste qui justifierait la suspension immédiate du traitement des données par cette plateforme, mais uniquement l’existence d’un risque lié au potentiel accès par les autorités américaines à certaines données ainsi hébergées par un acteur soumis au droit américain.
Pour autant, en raison de l’urgence liée au contexte actuel de crise sanitaire, le Conseil d’Etat a imposé à la plateforme concernée et à l’hébergeur de mettre en œuvre, dans les délais les plus brefs possibles et sous le contrôle de la Cnil, des mesures techniques et organisationnelles appropriées pour garantir au mieux la protection des droits des personnes concernées, et ce dans l’attente d’une solution pérenne qui permettrait d’éliminer tout risque d’accès aux données à caractère personnel par les autorités américaines.
Vers une localisation européenne des données à caractère personnel ?
En raison notamment de l’invalidation récente du Privacy Shield, des divers scandales ayant révélé des atteintes à la protection des données à caractère personnel par des entités ou autorités américaines (Snowden, Cambridge Analytica) et suite à l’annonce de la Commission européenne de divers projets (parution à venir d’un recueil réglementaire pour l’informatique en nuage (ou « cloud »), cadre législatif pour la gouvernance des données, loi sur les données de grande valeur, conclusion de protocoles d’accord avec les États membres afin d’aboutir à une fédération en nuage,…), des sénateurs ont déposé le 21 octobre 2020 une proposition de résolution européenne invitant les institutions de l’Union européenne à imposer le traitement, le stockage et la localisation des données à caractère personnel et des données industrielles, par des entreprises européennes, en Europe.
Cette proposition vise à demander aux institutions de l’Union européenne de prohiber le recours à des responsables de traitement et/ou sous-traitant soumis à une législation extra-européenne ou disposant d’un siège social en dehors de l’Espace Economique européen (EEE).
Les sénateurs à l’origine de cette proposition y soulignent l’importance de la protection des données à caractère personnel qui constitue « un élément de souveraineté des Etats européens » et considèrent que seul un espace européen sera en mesure de garantir la sécurité « des 175 zettaoctets de données qui circuleront en 2025 et des données générées par les 50 milliards d’objets connectés qui seront en service en 2030 dans le monde ».
Cette proposition de loi doit désormais être examinée par la commission des affaires européennes.
La stratégie proposée par le Contrôleur européen de la protection des données à l’attention des institutions européennes
Le Contrôleur européen de la protection des données (ou « CEPD ») a quant à lui publié le 29 octobre 2020 un document présentant la stratégie à adopter par les institutions européennes pour assurer la conformité des transferts de données à caractère personnel hors Union Européenne, actuels ou à venir, au regard de la position de la CJUE dans le cadre de la décision précitée.
Ainsi, le CEPD recommande de déployer le plan d’actions suivant :
- A court-terme :
-
- procéder à un recensement et à une cartographie des transferts de données à caractère personnel vers des Etats hors Union européenne, en décrivant les opérations de traitement concernées, les transferts mis en œuvre (localisation et destinataires), les garanties encadrant de tels transferts, les catégories de données à caractère personnel concernées et de personnes concernées ainsi que des informations sur les transferts ultérieurs le cas échéant ;
- établir un rapport sur les manquements constatés et les risques y afférents s’agissant des transferts hors Union européenne ainsi identifiés, un tel rapport ayant vocation à être remis au CEPD avant le 15 novembre 2020, ce dernier pouvant alors décider du déploiement d’actions répressives pour que de tels transferts soient conformes à la règlementation applicable en matière de protection des données à caractère personnel ou ordonner leur suspension ;
- pour ce qui concerne le recours à de nouveaux sous-traitants ou la mise en œuvre de nouvelles opérations de traitement, il est recommandé de faire preuve d’une grande vigilance et de s’assurer que les nouvelles pratiques envisagées n’impliquent pas de transferts de données à caractère personnel vers les Etats-Unis ;
- A moyen-terme :
- réaliser une analyse casuistique visant à évaluer l’impact des transferts de données à caractère personnel hors Union européenne au regard du niveau de protection du pays de destination, à l’aide d’une liste de questions préliminaires à se poser qui devraient être élaborées par le CEPD. Une telle analyse devra permettre de déterminer s’il demeure possible de procéder à de tels transferts, le cas échéant en déployant des mesures supplémentaires ou si une exception peut justifier de sa mise en œuvre ;
- établir un rapport sur le niveau de conformité des transferts hors Union européenne ainsi évalués, en précisant ceux mis en œuvre vers des pays ne disposant pas d’un niveau de protection satisfaisant, ceux qui ont été suspendus ou auxquels il a été mis fin et ceux pour lesquels une exception peut les justifier, afin que le CEPD puisse établir un plan d’actions spécifiques pour 2021.
En outre, le CEPD rappelle que la question de l’encadrement des transferts de données à caractère personnel hors Union européenne et des mesures supplémentaires pouvant être appropriées pour assurer un niveau satisfaisant de protection est en cours de réflexion et fait l’objet d’une coopération entre les autorités de contrôle européennes.
Et ce n’est qu’un début ! D’autres conséquences de cette jurisprudence “Schrems II” sont naturellement encore attendues (cf. à titre d’illustration, la position de la justice irlandaise, saisie par Facebook Europe pour protester contre une décision de l’autorité irlandaise de protection des données ayant demandé au réseau social de cesser le transfert des données des utilisateurs européens vers les États-Unis…).
* *
*
AGIL’IT ne manquera pas bien entendu pas de vous tenir informés des évolutions en la matière et se tient à votre disposition pour échanger avec vous sur les conséquences pour votre organisme de la position de la jurisprudence de la CJUE en matière de flux transfrontières de données à caractère personnel hors Union européenne, et pour vous accompagner dans le cadre des actions à déployer en vue d’une mise et / ou d’un maintien en conformité de vos transferts de données à caractère personnel hors Union européenne au regard de la règlementation applicable.
Par AGIL’IT – Pôle IT & Data protection
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate