Invalidation du Privacy Shield : quels enjeux de souveraineté et solutions pour les organisations ?

L’ invalidation du Privacy Shield sonne le glas d’un mécanisme d’adéquation que certains jugeaient peu protecteur des transferts de données personnelles entre l’UE et les Etats-Unis.

Cette prise de position a entraîné des conséquences sur la réévaluation et l’encadrement des conditions de transferts de données vers les USA et sur les positionnements des acteurs économiques du marché par une réaffirmation des enjeux de gouvernance et de souveraineté de l’UE.

Invalidation du Privacy Shield : la fin d’un mécanisme jugé peu protecteur

Le phénomène mondial d’accroissement des nouvelles technologies et l’hégémonie des GAFAM a engendré la multiplication des transferts de données personnelles, notamment depuis l’UE vers les Etats-Unis.

Favorisant l’économie numérique et la coopération internationale, le partage de l’information est devenu un atout incontournable dans la course à la productivité. A l’heure où la donnée est considérée comme une source de valeur estimable, l’accroissement de ces flux et l’absence de leur régulation font émerger depuis quelques années des enjeux géopolitiques de souveraineté.

La Directive 95/46/CE sur la protection des données personnelles, entrée en vigueur en octobre 1998 est venue interdire le transfert de données personnelles vers des États non membres de l’Espace Economique Européen (EEE) dont le niveau de protection serait inférieur à celui de l’EEE. La règle étant la suivante : les transferts de données au sein de l’UE sont considérés comme étant autorisés librement sans recourir à un mécanisme de protection juridique, les pays hors de l’UE quant à eux devront se plier à des décisions d’adéquation auprès de la Commission Européenne.

Dans ce contexte, les autorités européennes de protection des données ont publié une liste de pays présentant un niveau de protection suffisant et adéquat, garantissant de ce fait un meilleur encadrement des transferts transnationaux des données personnelles. De leur côté les Etats-Unis ont adopté un accord reconnu par la Commission Européenne comme offrant une protection des données personnelles équivalente à celle existante en Europe : c’est la naissance du Safe Harbor le 26 juillet 2000. Cet accord permet ainsi aux entreprises américaines de rapatrier les données personnelles des ressortissants de l’Union vers leur territoire dans un cadre « légal ».

Depuis le 6 octobre 2015, 15 ans après la mise en application de l’accord Safe Harbor, l’activiste militant autrichien pour la protection des données personnelles, Max Schrems a obtenu l’invalidation de cet accord par décision de la CJUE. Le Safe Harbor était en effet jugé insuffisamment protecteur des données personnelles des ressortissants européens face aux autorités américaines. Son légitime successeur devient ensuite le « bouclier de protection des données », plus communément nommé « Privacy Shield », adopté le 12 juillet 2016. Il s’agit d’un mécanisme d’auto-certification des organisations américaines collectant des données à des fins commerciales. Cet effet d’annonce à la hâte a tranquillisé temporairement les acteurs économiques sur la sécurisation des échanges.

Pour autant, la protection des données aux Etats-Unis n’est pas chose acquise. L’exploitation massive des données personnelles par les géants américains, l’adoption de lois gouvernementales telles que Le Patriot Act du 26 octobre 2001[1], suivi dans la même veine du Cloud Act promulgué le 23 mars 2018[2] imposent aux entreprises étrangères de transmettre des données personnelles aux autorités américaines et ce même lorsqu’elles sont stockées en dehors du territoire national, sous conditions d’enquêtes criminelles, en vue de la protection de l’ordre public. Une interprétation trop large de cette notion mettrait donc en péril toute initiative enclenchée par l’UE ayant par finalité la protection des données personnelles de ses citoyens.

C’est ainsi que les programmes de surveillance de masse et les lois antiterroristes à application extraterritoriale ne sont alors plus compatibles aux principes élémentaires de droits des personnes issus du Privacy Shield. Plus qu’un doute, une menace réelle planerait donc sur les intérêts individuels. Cette idée sera d’ailleurs largement relayée et médiatisée par des activistes militants tels que Edward Snowden aux Etats Unis, ou en encore Max Schrems au sein de l’UE, rendant les acteurs européens de plus en plus méfiants.

Du côté de l’UE, l’entrée en vigueur du RGPD le 25 mai 2018 a suscité auprès des résidents européens une conscience collective et éthique vis-à-vis de leurs données personnelles, en deçà du renforcement des sanctions pour les entreprises en cas de non-respect de ses dispositions.

Cette divergence idéologique entre l’UE et l’Outre-Atlantique impose une conclusion nette : si l’UE souhaite faire rayonner sa vision des droits fondamentaux et privilégier sa souveraineté numérique, le Privacy Shield n’est plus un passe-droit suffisant.

C’est dans ces circonstances que l’arrêt Schrems II de la CJUE en date du 16 juillet 2020 rend invalide la décision 2016/1250 relative à l’adéquation de la protection assurée par le « bouclier de protection des données » UE-États-Unis.

En conséquence, les transferts de l’UE vers les USA ne sont désormais plus encadrés par décision d’adéquation. Comment alors sécuriser nos transferts de données ? La CJUE donne la réponse dans cette même décision :  en validant les clauses contractuelles types (CCT)[3], mettant en place des Binding Corporate Rules (BCR)[4], ou un code de conduite ou les exceptions prévues par l’article 49 du RGPD (consentement explicite, spécifique et informé des personnes concernées).

Devrions-nous nous attendre à une nouvelle décision d’adéquation ? Rien n’est moins sûr, mais dans l’attente d’un mécanisme plus protecteur et du digne successeur du Privacy Shield, nous ne pourrions que conseiller aux acteurs de prendre dès à présent de bonnes dispositions.

Comment l’Europe peut créer son propre bouclier de protection des données ?

L’annulation du bouclier de protection des USA a poussé les entreprises européennes à s’adapter et à adopter de nouveaux comportements, afin de rester en conformité avec le RGPD.

Dans un premier temps, il aurait fallu suspendre tous les transferts de données vers toutes les entreprises américaines, si ceux-ci n’étaient pas couverts par un accord de l’autorité de contrôle européenne.

La CJUE a recommandé ainsi une évaluation au cas par cas des transferts de données, afin d’identifier les mesures supplémentaires à mettre en place.

Dans le cas où le respect des garanties appropriées ne sera pas assuré compte tenu des circonstances du transfert et malgré d’éventuelles mesures supplémentaires, et si les entreprises souhaitent maintenir les transferts des données, le responsable de traitement doit en informer l’autorité de contrôle de façon la plus claire et documentée possible.

Nous l’avons dit, afin de conserver les garanties appropriées pour encadrer les transferts de données vers les Etats-Unis, il reste toutefois des solutions. Notamment les CCT, les BCR, le code de conduite ou les exceptions relatives au consentement explicite, spécifique et informé des personnes concernées). Ces éléments permettraient aux entreprises européennes de conserver la relation commerciale avec les entreprises américaines.

L’arrêt « Schrems II » soulage les acteurs sur ce point : les CCT sont valides. D’ailleurs, de nouvelles versions ont été adoptées par la Commission européenne le 4 juin 2021[5]. Ces clauses doivent être négociées par les organisations qui les souscrivent, responsable du traitement et/ou sous-traitants[6], afin de mettre en place toutes les mesures (techniques, organisationnelles ou juridiques) nécessaires afin de garantir la protection des données personnelles.

D’ailleurs, la Cour de justice de l’Union européenne (CJUE) avait émis dans sa décision des réserves et souligne qu’il incombe aux organismes européens et au destinateur des données d’évaluer en pratique si la législation du pays de destination permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les CCT. Autrement dit, les acteurs économiques de l’UE pourront exiger des organisations et entreprises américaines de mettre en œuvre des mesures suffisantes et donc, pourront parfaitement renégocier les CCT.

Si cette approche n’est pas suffisamment dissuasive, la CJUE précise que les autorités de contrôle sont fondées à investiguer auprès des destinataires sur les transferts étrangers, afin d’assurer un niveau équivalent de protection des données au travers de garanties. Les autorités peuvent notamment prononcer l’interdiction ou la suspension des transferts de données en cas de non-respect.

Dans ce sens, la Commission nationale de l’informatique et des libertés (CNIL), autorité de protection des données en France, préconise de notifier à l’autorité de contrôle compétente l’intention de poursuivre les transferts de données en dépit du non-respect des garanties.

Ce qu’il faut retenir, c’est que la possibilité de transférer ou non des données à caractère personnel sur la base de CCT ou BCR dépendra du résultat de votre évaluation, en tenant compte des circonstances des transferts, et des mesures supplémentaires que vous jugerez nécessaires de mettre en œuvre pour garantir le bon niveau de protection de vos données personnelles.

En tout état de cause, les mesures supplémentaires ainsi que les clauses contractuelles types émergeant d’une analyse au cas par cas des circonstances relatives au transfert doivent assurer que le droit des États-Unis n’affecte pas le niveau de protection adéquat qu’elles garantissent[7]. Il faudrait s’assurer notamment qu’en cas de demande d’accès par des autorités des pays tiers (i.e. les Etats-Unis), l’importateur a l’obligation de vous informer sur cette demande et de contester la demande si elle est illégale.

Coup d’arrêt pour les organismes américains

Citons un exemple concret dans le cadre de l’affaire Doctolib devant le Conseil d’Etat[8] en mars 2021. Pour les besoins de l’hébergement de données transmises à Doctolib dans le cadre de la campagne de vaccination contre la COVID-19, celui-ci a recours à la société AWS Sarl (filiale de la société américaine Amazon Web Services Inc). Des associations et syndicats professionnels de la santé ont demandé au juge des référés du Conseil d’État de suspendre le partenariat conclu entre le ministère de la santé et Doctolib estimant que l’hébergement des données de Doctolib par la filiale d’une société américaine comportait des risques au regard de demandes d’accès par les autorités américaines.

Pour prendre sa décision le juge des référés a fait une analyse en 3 parties : nature des données, contenu du contrat et mesures de sécurité prévues par les parties.

• Nature des données : Il a été observé que le traitement ne comprenait que des données d’identification et non pas de données dites sensibles ; en plus celles-ci sont supprimées au plus tard à l’issue d’un délai de trois mois à compter de la date de rendez-vous.
• Contenu du contrat : Ensuite, prenant en compte les exigences posées par l’arrêt Schrems II, le juge des référés du Conseil d’État a analysé le contenu du contrat conclu entre les parties et a déterminé que des clauses contractuelles prévoyaient une procédure spécifique en cas de demandes d’accès par une autorité étrangère.
• Mesures de sécurité : Enfin, la société Doctolib a mis en place un dispositif de sécurisation des données hébergées par la société AWS par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers.

Il est à noter que tant dans l’affaire Doctolib, comme de manière générale, en cas de non-respect des principes issues du RGPD, les autorités compétentes sont en droit de suspendre les transferts de données, et ce vers tous les pays autres que membres de l’EEE.

Dans le cadre de cette annulation du Privacy Shield, une question évidente se pose : est-ce que cette décision constituera un avantage concurrentiel pour les acteurs européens ? Avec l’incertitude liée à la négociation de nouveaux accords, les relations internationales subissent encore des tensions. C’est certainement l’opportunité tant attendue de reprendre la main localement sur le traitement des données.

Nos pistes de réflexion pour les organisations

Les grandes entreprises américaines n’ont pas encore réagi à l’invalidation du Privacy Shield et redirigent simplement vers leur politique de confidentialité. Leur position de dominance sur le marché ne les encourage pas à y répondre en attendant le prochain texte de loi. A l’heure où ces lignes sont écrites, les différentes parties prenantes réfléchissent à de nouvelles mesures encadrant ces transferts. A ce jour, les entreprises n’ont donc pas lancé de grands mouvements de mise en conformité.

Mise en place des mesures techniques et organisationnelles nécessaires et adaptées

On pourrait supposer que les solutions techniques de sécurité suffisent à protéger les données des utilisateurs. Il est en effet pertinent de mettre en œuvre des mesures de chiffrement des données de bout en bout de l’UE vers les USA. A court, voire moyen terme, cette idée est séduisante et parfaitement entendable. Sur le long court en revanche, il est à craindre qu’elles soient menacées par l’émergence de nouvelles technologies quantiques capables de déchiffrer des données. Un projet de loi américaine « Lawful Access to Encrypted Data Act » en date du 23 Juin 2020 illustre même cette tendance en proposant de contraindre ses opérateurs américains à communiquer aux autorités leurs clés de chiffrement, voire les interdire dans les cas spécifiques de lutte contre le terrorisme, trafic de drogues ou abus sur mineur.

Bien que nécessaires, ces mesures ne sont pas suffisantes. Pour l’heure, nous conseillons d’accentuer la mise en œuvre des mesures organisationnelles selon une approche pilotée par les risques.

Les retours d’expérience qualitatifs de nos experts de la protection des données au sein de onepoint, nous encouragent à vous partager les pratiques opérationnelles qui vous permettront de garder le contrôle des données personnelles, et de maintenir un niveau de conformité élevé des traitements.

Ce plan d’action sous forme de « bonnes pratiques » doit être déployé sur le long terme, notamment si :

• Votre organisation réalise des transferts de données réguliers vers des tiers situés aux Etats-Unis ;
• Votre organisation a des relations contractuelles fondées sur un service souscrit via un site internet, sans possibilité de négocier les termes du contrat, comme c’est souvent le cas avec les plateformes cloud.

Nota bene : Ces bonnes pratiques peuvent être exploitées pour les transferts de données vers les USA, comme à tout type de pays qui ne serait pas considéré comme équivalent au niveau de protection des données (hors EEE).

Nous avons répertorié trois catégories de bonnes pratiques à mettre en œuvre :

Les bonnes pratiques de gouvernance

• Privilégier les services web des fournisseurs qui ne sont pas soumis au Cloud Act. Dans cette optique, il est nécessaire de s’assurer que les partenaires présentent des garanties quant à la localisation des données (hébergement), et à aux finalités précises faite des données transférées.
• Relocaliser vos services en optant pour des solutions européennes. Dans un premier temps et si vous le jugez pertinent en fonction de votre activité, il est nécessaire de limiter le plus possible le recours à une entreprise en dehors de l’EEE. Cela implique de privilégier les partenariats avec les acteurs locaux, à qualité de service égale. Sélectionner une entreprise française ou européenne la soumet irrémédiablement aux obligations issues du RGPD, ce qui vous permet en tant que responsable de traitement de lui fournir les instructions nécessaires à un niveau de conformité élevé.
• Le cas échéant, mettre en place un dispositif de sécurisation des données sur un tiers de confiance situé dans l’UE afin d’empêcher la lecture des données par des tiers.
• Vérifier les conditions d’utilisation des utilisateurs et ainsi la présence de transferts vers les USA. Cette pratique permet d’instaurer la confiance du client à travers une démarche plus éthique.

Les bonnes pratiques du principe d’« accountability » 4 pour initier sa conformité

• Identifier l’ensemble des transferts de données personnelles vers les USA au travers de la documentation existante (ex : en appui du registre de traitement, cartographie de flux, de données, de processus)
• Documenter tous les échanges et toutes les actions entreprises dans le cadre des transferts de données (tableau de suivi inscrivant les délais, les jalons) avec les sous-traitants, partenaires, prestataires, entités situées aux USA.
• Déterminer la chaîne de responsabilités impliquée dans les transferts de données: déterminer qui est le ou les responsables de traitement, le ou les sous-traitants qui sont liés au transfert de données, et les répertorier au sein d’un inventaire (à partir du registre de traitement).
• Appliquer le Principe de Privacy by design et by default notamment en ce qui concerne l’application du principe de minimisation des données visant à ne transférer que les données strictement nécessaires.

Les bonnes pratiques juridiques pour maintenir sa conformité

Nous avons identifié un processus de maintien de la conformité qui constitue un mécanisme privilégié.

Si votre organisation est impactée par l’invalidation du Privacy Shield, et qu’il vous est impossible de privilégier une autre solution que les transferts vers les USA, voici les étapes à réaliser en tant qu’exportateur de données :

• Identifier les parties prenantes impliquées dans le traitement des données (responsable de traitement et sous-traitants)
• Identifier et vérifier l’adéquation de la base légale de ces transferts;
• Imposer aux prestataires d’inclure dans le contrat les clauses contractuelles types mises à jour par la Commission européenne et les renégocier si nécessaire afin de garantir la mise en œuvre de toutes les mesures permettant d’assurer un niveau de protection des données personnelles accorde aux exigences au sein de l’UE ;
• Instruire les instructions aux prestataires (mesures techniques et organisationnelles issues du RGPD)
• Réaliser des audits réguliers du destinataire des données pour s’assurer que les exigences des clauses contractuelles sont bien respectées ;
• Selon les cas, informer les utilisateurs de façon concise et accessible de l’existence d’un transfert des données vers un pays hors Union européenne (ou vers une organisation internationale), les garanties associées à ce transfert et la faculté d’accéder aux documents autorisant ce transfert, selon les conditions de l’article 12, 13, 14 du RGPD.
• Lorsque les transferts sont fondés sur le consentement de la personne concernée, s’assurer que celui-ci a été recueilli conformément à la réglementation applicable en matière de protection des données à caractère personnel et que vous octroyez à la personne concernée le droit de retirer facilement son consentement à tout moment.

Pour l’heure, nous vous conseillons dès à présent d’initier ce chantier. Il n’est pas certain qu’un nouvel accord soit conclu entre l’UE et les pays tiers, et pour l’instant aucune action n’a été entreprise en ce sens. Le bouclier n’assurant plus sa fonction protectrice, vous ne bénéficiez que de garanties que vous mettrez vous-même en place ou exigerez de vos co-contractants.

Une gouvernance européenne en construction : Vers l’affirmation de notre autonomie ?

L’un des paris du RGPD consistait à rayonner par-delà les frontières européennes. Il est en partie remporté, puisqu’il a des effets sur le cadre législatif américain, et par voie de conséquence sur les relations commerciales étrangères. A présent, chaque organisation doit se montrer responsable quant à l’évaluation du niveau de protection des données mis en œuvre par l’organisation destinataire.

C’est une première opportunité de rééquilibrer les rapports de dominance américains, mais qui est loin d’être suffisante pour assurer une réelle protection aux citoyens européens. En effet, une prise de conscience de la part des acteurs économiques européens est nécessaire pour repenser notre modèle de gouvernance, éthique et protecteur des données confiées.

La conscience accrue des utilisateurs vis-à-vis de l’utilisation de leurs données et de leur délocalisation sont autant d’arguments commerciaux pour ces géants du Web de démontrer leur conformité et leur éthique. Il en va également aux entreprises américaines de se saisir de cette influence, sans considérer les données européennes comme étant leur seule propriété. Le risque pour les entreprises américaines qui n’en tiennent pas compte serait d’être détrônées par la concurrence de nouveaux services européens, protecteur de nos données. A titre d’exemple, nombreux ont été les utilisateurs qui ont souscrit le service Signal plus protecteur des données personnelles, à défaut de WhatsApp dont les nouvelles conditions d’utilisation suscitaient polémique[9].

Si, à l’entrée en vigueur du RGPD, certains acteurs du marché se sont montrés sceptiques quant à sa mise en application réelle au-delà des frontières de l’UE, force est de constater que son caractère extraterritorial interroge et remet en cause les positions économiques.

La pandémie ayant révélé nos multiples dépendances, l’Europe doit saisir cette période de transition en prenant des décisions stratégiques. Le contexte international et géopolitique actuel enjoint l’Europe à s’affirmer et à fonder les bases de sa souveraineté, tout en conservant ses valeurs communes.

Les états membres de l’UE vont-ils saisir cette opportunité pour reprendre la main sur leurs données personnelles et positionner une stratégie de gouvernance pro-européenne ?

 

Article écrit avec la contribution active d’Isabelle THOMAS; Géraldine GODARD; Laura LACRAMBE; Anthony ABUD QUELIZ et Victor DE NEYRIEU,

• [1] USA PATRIOT ACT (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) : Cette Loi du Congrès américain autorise les services de sécurité à accéder aux données informatiques détenues par les particuliers et les entreprises, sans autorisation préalable et sans en informer les utilisateurs.
• [2] CLOUD Act (Clarifying Lawful Overseas Use of Data Act) : Permet aux instances de justice de contraindre les fournisseurs de services établis sur le territoire des États-Unis, à fournir les données relatives aux communications électroniques, stockées sur des serveurs, qu’ils soient situés aux États-Unis ou dans des pays étrangers.
• [3] CNIL, « Transfert de données : les clauses contractuelles types (CCT) de la Commission européenne », publié le 15 juin 2021 sur le site de la CNIL : « Les clauses contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne ».
• [4] CNIL, « Ce qu’il faut savoir sur les règles d’entreprise contraignantes (BCR) », publié le 07 février 2020 sur le site de la CNIL : « Les règles d’entreprise contraignantes (ou Binding Corporate Rules (BCR) en anglais) désignent une politique de protection des données intra-groupe en matière de transferts de données personnelles hors de l’Union européenne. Elles peuvent couvrir tous les traitements effectués par l’organisme ou plus particulièrement les données transférées en dehors de l’Union européenne. Elles concernent principalement des entreprises privées de type multinationale, implantées dans plusieurs pays d’Europe et hors Union européenne ».
• [5] Ces nouvelles clauses sont entrées en vigueur le 27 juin 2021. A partir du 27 septembre 2021 les anciennes CCT sont abrogées : tous les contrats avec les anciennes CCT devront être mis à jour.
• [6] Les nouvelles CTT adoptées par la Commission européenne en date du 4 juin 2021 proposent une approche modulaire pour couvrir tous les scénarios possibles de transfert : transfert d’un RT à un RT, transfert d’un RT à un RT et (les nouveautés) : transfert d’un ST à un ST et d’un a ST à un RT.
• [7] EDPB, Foire aux questions sur l’arrêt rendu par la Cour de justice de l’Union européenne dans l’affaire C-311/18 – Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems Adopté le 23 juillet 2020, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_fr.pdf
• [8] Conseil d’État 450163, lecture du 12 mars 2021, Décision n° 450163
• [9] Non-respect du consentement pour les nouvelles CGU après un délai de 30 jours de rétractation pour le partage d’informations avec l’autre entité située aux Etats Unis