Transferts de données personnelles hors de l'Union Européenne : les principales tendances

​POURQUOI LA DÉCISION SCHREMS II EST-ELLE IMPORTANTE ?

Le 16 juillet 2020, la Cour de Justice de l'Union Européenne (CJUE) a bouleversé le monde des données personnelles par une décision importante rendue dans l'affaire C-311/18 dite « Schrems II » :

La CJUE a invalidé la décision de la Commission européenne reconnaissant l'adéquation du bouclier de protection de la vie privée (le « Privacy Shield »), considérant que le Privacy Shield ne fournissait pas :

- Les garanties nécessaires pour limiter l'accès des autorités publiques américaines aux données personnelles des personnes concernées dans l'Union Européenne (UE), compte tenu des lois américaines sur la surveillance.

- Une protection judiciaire efficace contre les programmes de surveillance américains et un recours effectif devant un organisme offrant des garanties substantiellement équivalentes à celles exigées par le droit de l'UE.

La CJUE a validé l'utilisation des clauses types encadrant les transferts hors UE (communément appelées « Clauses Contractuelles Types » ou « CCT »), tout en soulignant la nécessité de veiller à ce que des mécanismes efficaces soient mis en place pour assurer le respect d'un niveau de protection équivalent à celui accordé par le RGPD et la Charte des droits fondamentaux de l'Union européenne ("droit européen"). L'exportateur des données doit procéder à l'évaluation suivante :

- Vérifier si la législation du pays destinataire garantit que le niveau de protection requis par le droit européen est respecté et si ce n'est pas le cas, mettre en œuvre des mesures supplémentaires pour compenser les lacunes des systèmes juridiques dudit pays en ce qui concerne la protection des données ;

- Si l'exportateur des données conclut qu'un niveau de protection des données efficace et équivalent au droit européen ne peut être assuré, il doit suspendre ou mettre fin au transfert.

Suite à la décision Schrems II, le Comité européen de la protection des données (« CEPD ») a adopté le 24 juillet 2020 une Foire aux questions (FAQ) précisant notamment que cette décision a des implications sur les outils de transfert autres que le Privacy Shield et les CCT (par exemple, sur les règles d'entreprise contraignantes (BCR)). Des orientations attendues depuis longtemps ont également été fournies par le CEPD le 11 novembre 2020 (voir ci-dessous).

La décision Schrems II a suscité diverses réactions et a renforcé la réflexion sur la manière de garantir des transferts sécurisés - ce qui soulève une question majeure : Les organisations peuvent-elles légalement et en toute sécurité transférer des données en dehors de l'UE et, en particulier, vers les États-Unis ? Si oui, comment ?

Attendre n'est cependant pas une option, car la CJUE n'a pas offert de délai de grâce pour moduler dans le temps les effets de la décision Schrems II ! Par ailleurs, les acteurs de la protection des données commencent déjà à s'intéresser aux implications pratiques de la décision Schrems II. Un exemple révélateur est celui des 101 plaintes déposées par l'association de protection des données Noyb contre plusieurs entreprises qui continuent de transmettre des données aux Etats-Unis.

LES MESURES PRATIQUES À METTRE EN PLACE POUR ÊTRE "CONFORME À LA DECISION SCHREMS II"

Le Contrôleur européen de la protection des données (en anglais « European Data Protection Supervisor » ou « EDPS », équivalent de la CNIL pour les institutions et agences de l'UE) a publié un plan d'action pour mettre les institutions, organes et organismes de l'UE en conformité avec la décision "Schrems II". Récemment, le CEPD a publié également deux séries de recommandations sur les mesures supplémentaires aux outils de transfert afin d'assurer une protection des données conforme au niveau de l'UE (projet ouvert à consultation publique jusqu'au 21 décembre 2020) et sur les garanties essentielles européennes pour les mesures de surveillance.

A la lumière de la décision Schrems II et des orientations de l'EDPS et du CEPD, voici quelques mesures pratiques à mettre en place sans délai :

- Cartographier les flux de données et identifier les mécanismes de transfert applicables : identifier les transferts de données hors UE et les mécanismes de transfert mis en place, et évaluer l'efficacité de ce mécanisme de transfert à la lumière de toutes les circonstances du transfert.

- Mener des "analyses d'impact du transfert" pour identifier en particulier les mesures supplémentaires à mettre en œuvre. Le CEPD prévoit trois types de mesures supplémentaires : (i) des mesures techniques telles que le chiffrement ou la pseudonymisation, (ii) des mesures contractuelles supplémentaires telles que des clauses par lesquelles l'importateur des données certifie qu'il n'a pas créé intentionnellement des « back doors », ou des annexes relatives à l'accès aux données par les autorités publiques, (iii) des mesures organisationnelles telles que des politiques internes pour la gouvernance des transferts (y compris la mise en place d'une équipe composée d'experts en informatique, en protection des données et en droit de la vie privée, qui devrait être basée au sein de l'UE pour traiter les demandes qui impliquent des transferts de données depuis l'UE). Il faut également noter que la Commission européenne a publié le 12 novembre 2020 un projet de nouvelles clauses contractuelles types pour encadrer les transferts à jour du RGPD (CCT). Ces projets sont actuellement ouverts à consultation publique.

- S'agissant des nouvelles opérations de traitement ou les nouveaux accords avec les fournisseurs, revoir attentivement les activités de traitement qui impliquent des transferts de données vers les États-Unis et plus généralement en dehors de l'UE. Cette question doit également être prise en compte dans le cadre du renouvellement des projets qui impliquent de tels transferts.

LES REACTIONS DES AUTORITES EUROPEENNES : SOUHAIT D'UNE LOCALISATION EUROPEENNE DES DONNÉES ?

Les transferts hors UE sont toujours possibles et légaux s'ils sont effectués conformément à la décision Schrems II. Comme indiqué précédemment, la CJUE a validé l'utilisation des CCT à condition que des mesures supplémentaires soient mises en œuvre lorsque les lois du pays de l'importateur des données n'offrent pas un niveau de protection équivalent. Bien que d'apparence claire, cette condition a déjà et peut encore soulever des interprétations contradictoires des autorités nationales de contrôle de protection des données au sein de l'UE et donc créer une approche européenne fragmentée.

Suite à l'arrêt Schrems II, certaines autorités ont pu déclarer que les transferts vers les États-Unis étaient illégaux et ont appelé à la prudence et à la minimisation des transferts (par exemple, certaines autorités allemandes). L'EDPS a également demandé aux institutions européennes "d'éviter les activités de traitement" qui impliquent des transferts vers les Etats-Unis et a chargé les institutions européennes de réaliser une "cartographie identifiant les contrats en cours, les procédures de passation de marchés et autres types de coopération qui impliquent des transferts de données". Tandis que d'autres autorités ont noté que la décision Schrems II a validé l'utilisation des CCT comme mécanisme de transfert pour autant que des mesures supplémentaires soient mises en œuvre (par exemple, le CEPD ou la CNIL en France).

Il est également intéressant de noter qu'en France, le Conseil d'État a rendu une ordonnance en référé par laquelle il a rejeté une demande de suspension de la plateforme centralisée de données de santé française, « Health Data Hub », qui recourait à un prestataire américain pour traiter les données. Le Conseil d'État n'a pas suivi la position de la CNIL dans cette affaire, qui demandait aux acteurs stockant des données de santé de confier le traitement de leurs données à des sociétés non soumises à la loi américaine. Le Conseil d'État a toutefois reconnu qu'il existait un risque que les services de renseignement américains demandent des données au prestataire américain (même si les données restent dans l'UE, ce en raison de la portée extraterritoriale des lois de surveillance américaines) et a demandé la mise en place de garanties supplémentaires sous le contrôle de la CNIL. Le ministre français de la Santé a indiqué que les données françaises de santé cesseront d'être stockées chez le prestataire américain dans un délai de deux ans.

Une disparité de positions au sein de l'UE peut entraîner des situations inéquitables pour les résidents de l'UE étant rappelé que l'évaluation des transferts est soumise aux vérifications des autorités de contrôle : "l'autorité de contrôle compétente est tenue [...] de suspendre ou d'interdire un tel transfert". Cela pourrait créer une application fragmentée du droit européen, un transfert pouvant être validé par une autorité de contrôle et non par une autre.

Dans ce contexte, on peut également ressentir un appel à une tendance "eurocentrique". Par exemple, la CNIL encourage l'utilisation de fournisseurs européens à tout le moins dans le cadre de projets impliquant des données particulièrement sensibles. Par ailleurs, la Commission européenne souhaite faciliter le partage des données au sein de l'UE à travers la mise en place d'une gouvernance et d'une stratégie européenne des données comme le montre la proposition de règlement sur la gouvernance européenne des données publiée le 25 novembre 2020. Ce règlement vise notamment à mettre en place des règles et moyens harmonisés en matière d'utilisation des données et à soutenir le développement d'espaces européens communs des données (opérés par des intermédiaires de données). Un « Comité européen de l'innovation dans le domaine des données » sera également créé et aura notamment pour objectif de faciliter le partage des bonnes pratiques par les autorités des Etats Membres. Même si la Commission a déclaré ne pas vouloir introduire des exigences de localisation des données notamment pour les espaces européens commun, elle rappelle que l'UE doit veiller à ce que tout accès aux données personnelles des citoyens de l'UE et à certaines données sensibles soit conforme à ses valeurs et à son cadre législatif. Dans cette même lignée, l'EDPS a publié un avis sur la création d'un espace commun dans le domaine de la santé, à savoir l'Espace européen des données sur la santé ("EEDS") afin d'exploiter le potentiel des données de santé (amélioration des soins, innovations médicales, etc.) dans un climat de confiance et d'efficacité. L'EEDS soutient les "objectifs de promotion de l'échange de données sur la santé et d'encouragement de la recherche médicale" tout en soulignant la "nécessité de définir des garanties en matière de protection des données" en raison de la sensibilité des données à traiter au sein de l'EEDS. Afin de sécuriser les données de santé, l'EDPS préconise des "initiatives pour parvenir à une "souveraineté numérique européenne".

Il est donc important pour les organisations de gérer la problématique des transferts des données personnelles hors UE sans tarder en suivant les positions des autorités en la matière. En effet, compte-tenu des prises de position étayées notamment du CEPD, les organisations disposent à présent d'un plan d'action précis qui doit être déployé.​