Le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) annulait le Privacy Shield, l’accord d’adéquation sécurisant les transferts de données personnelles entre les États-Unis et l’Union européenne (UE). En l’absence de décision d’adéquation, le Règlement général sur la protection des données (RGPD) impose un renforcement de la sécurité pour les transferts de données hors de l’Espace économique européen (EEE).
Ainsi, depuis bientôt deux ans, les entreprises doivent mettre en œuvre des dispositifs (juridiques, techniques et organisationnels), parfois complexes, afin de poursuivre l’utilisation de solutions technologiques étrangères et particulièrement étatsuniennes.
Néanmoins, les récentes décisions sur l’utilisation de Google Analytics démontrent que ces mesures ne suffisent pas en réalité à assurer une conformité au RGPD. Dans ce contexte, l’annonce d’un nouvel accord de principe entre l’UE et les États-Unis est accueillie avec soulagement par les organisations concernées. Cependant, un certain scepticisme demeure quant à l’efficacité voire la pérennité du futur dispositif.
Les transferts de données personnelles : une notion aux contours mal définis
Aussi étonnant que cela puisse paraître, la notion de transfert n’est pas clairement définie par le RGPD. Pour la CNIL, il y a transfert dès qu’il y a “communication, copie ou déplacement de données personnelles”. Cette définition large inclut des activités très diverses allant du stockage jusqu’à la simple consultation, qui constituent alors un traitement au sens du RGPD et impliquent le respect de ses dispositions.
Parmi ces activités de transferts, on distingue les transferts de données vers un destinataire hors de l’Espace économique européen (EEE) qui sont dits transfrontaliers.
Les transferts transfrontaliers sont quotidiens et essentiels tant au commerce qu’à la coopération internationale. Pourtant, à l’échelle mondiale, les inégalités dans la protection de la vie privée, et les différences de priorités quant à son équilibre avec la sécurité publique, présentent un risque certain pour les droits et libertés des personnes physiques. C’est précisément pour cette raison que les transferts transfrontaliers font l’objet d’une attention particulière, dont le régime est encadré par les dispositions du Chapitre V du RGPD.
Il impose ainsi au Responsable de Traitement (RT) et à ses Sous-Traitants (ST) éventuels de s’assurer que le niveau de protection des personnes physiques ne soit pas compromis à l’occasion d’un transfert vers un tiers situé en dehors de l’EEE, ce qui suppose une comparaison entre les garanties du RGPD et celles offertes par la législation du pays tiers destinataire. Face à ce principe directeur, trois situations sont envisagées :
- Lorsque le pays destinataire dispose d’un cadre légal et institutionnel à même d’assurer un niveau de protection équivalent à celui du RGPD, cette situation est constatée par la Commission européenne par le biais d’une décision d’adéquation. Dès lors, tout transfert vers un pays adéquat (il en existe 14 à ce jour) est autorisé par principe.
- A contrario, les transferts vers des pays inadéquats doivent se faire dans un cadre sécurisé par des mesures appropriées susceptibles de garantir le respect des droits et libertés des personnes concernées.
- Enfin, dans certaines exceptions prévues à l’article 49 du RGPD, le transfert peut être autorisé de manière dérogatoire.
Quels mécanismes de transfert en l’absence de décision d’adéquation ?
Pour transférer des données personnelles vers un pays inadéquat, il existe deux principaux mécanismes de transfert :
- L’adoption de Règles Contraignantes d’Entreprises (BCR) qui permet aux groupes opérant sur le sol européen d’encadrer les transferts de données entre leurs entités en interne ;
- La signature des Clauses Contractuelles Types (CCT) de la Commission européenne qui permet d’encadrer les transferts entre l’exportateur et l’importateur de données.
Malgré la complexité et le manque de flexibilité des CCT, une étude de Digital Europe1 conduite fin 2020 montre qu’il s’agit du mécanisme de transfert le plus courant dans le secteur privé. En effet, sur 300 grands groupes et moyennes entreprises consultés, 85% déclaraient être concernés par les CCT.
Un cas particulier : les transferts de données vers les États-Unis
Les États-Unis, premier partenaire économique et politique de l’UE, ont toujours bénéficié d’un traitement à part. On parlera plus justement d’accords d’adéquation que de reconnaissances unilatérales d’adéquation.
Dès 2000, avant même l’adoption du RGPD, un premier accord, le Safe Harbour, était venu autoriser les transferts de données personnelles entre l’UE et les États-Unis.
Le Safe Harbour a tenu bon jusqu’en 2013. C’est alors que le lanceur d’alerte Edward Snowden a révélé que, sur la base du Foreign Intelligence Surveillance Act (FISA) de 1978, la National Security Agency (NSA) collectait des données personnelles d’Européens en masse, à des fins de profilage entre autres.
En plus d’instaurer un climat de méfiance auprès du grand public, ce scandale mit en lumière l’incapacité d’accords politiques tels que le Safe Harbour à combler la profonde inadéquation entre la vision de sécurité nationale des États-Unis et la conception européenne du respect de la vie privée.
C’est dans un arrêt du 6 octobre 2015, dit Schrems I (du nom du lanceur d’alerte autrichien à l’origine du recours), que la CJUE finit par invalider le Safe Harbour. Elle précisait alors que “une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée”.
Seulement quatre mois plus tard, l’UE et les États-Unis annonçaient un nouvel accord encadrant les transferts de données transatlantiques : le Privacy Shield. La décision d’adéquation entérinant cet accord suivit en moins de cinq mois.
À nouveau, Max Schrems forma un recours contre l’accord pour des motifs similaires, et le Privacy Shield tomba à son tour dans l’arrêt de la CJUE du 16 juillet 2020 dit “Schrems II ». Les États-Unis se retrouvèrent alors une seconde fois dépouillés de leur décision d’adéquation.
Dans les mois qui suivirent, contrairement aux attentes, aucun nouvel accord d’adéquation ne fut adopté. Les organisations concernées furent donc amenées à encadrer leurs traitements à l’aide d’autres mécanismes.
Le renforcement des exigences européennes à la suite de l’arrêt Schrems II
En juin 2021, un an après l’invalidation du Privacy Shield, le Comité européen de la protection des données (EDPB) a publié ses recommandations dédiées. Simultanément, la Commission européenne a adopté une version actualisée des CCT (version 2)2. Cette mise à jour des CCT est assortie de deux délais de mise en œuvre :
- 3 mois, soit jusqu’au 27 septembre 2021, pour cesser l’utilisation des CCT version 1 pour les nouveaux contrats ;
- 18 mois, soit jusqu’au 27 décembre 2022, pour la mise à jour des CCT dans les contrats préexistants.
L’adoption des CCT version 2 est une conséquence de la décision Schrems II. Pourtant, leur application ne se cantonne pas aux transferts vers les États-Unis : elle remet en question les transferts vers l’ensemble des pays inadéquats.
Les entreprises ont donc rapidement été confrontées à un travail conséquent de mise à jour contractuelle. Toutefois, pour la Commission, les CCT ne suffisent pas à assurer la conformité des transferts transfrontaliers. Elle exige également que ces activités respectent les recommandations de l’EDPB qui durcit les règles en matière de transferts.
Transferts post-Schrems II : une mise en conformité difficile
Ces exigences nouvelles semblent en décalage avec la réalité du marché. Un quart des entreprises n’ont pas conscience de leurs activités de transfert de données et seulement 50% des entreprises, majoritairement des grands groupes, déclarent avoir mis en marche un plan d’actions pour répondre aux conséquences de l’arrêt Schrems II. Ce dernier groupe se confronte depuis près d’un an à des difficultés à plusieurs niveaux.
Dans un premier temps, les entreprises font face à des difficultés organisationnelles. Sans préciser de méthodologie, les recommandations de l’EDPB imposent de procéder à l’analyse du niveau de sécurité inhérent au transfert transfrontalier envisagé. Pour répondre à cette exigence, nous remarquons que la plupart des organisations procèdent à des analyses d’impact du transfert (TIA).
Par ailleurs, l’EDPB fait peser ces exigences sur l’exportateur de données, indépendamment de sa qualité de RT ou de ST. Pourtant, le RGPD exige bien du RT qu’il soit en mesure de démontrer la conformité de ses traitements, transferts inclus, et de sa chaîne de sous-traitance. En pratique, nous constatons que beaucoup de ST, alors qu’ils sont exportateurs, ignorent – volontairement ou non – leurs obligations au regard des CCT version 2, et laissent aux RT la charge de réaliser les TIA. Ce flou aussi bien dans la méthode à suivre que dans le schéma de responsabilité complique fortement la mise en conformité des transferts.
Dans un deuxième temps, les entreprises rencontrent des difficultés techniques. Toujours selon l’EDPB, si l’analyse du transfert révèle un certain risque pour les données, alors le RT et le ST doivent se coordonner pour mettre en œuvre des mesures techniques et organisationnelles (TOMs) à même de sécuriser les transferts.
Or, les géants du numérique laissent très peu de marge de personnalisation et de négociation à leurs clients. Beaucoup d’entre eux se sont limités à la publication de livres blancs sur la soi-disant conformité de leurs mesures de sécurité. Le tout assorti de liens URL vers des clauses de protection des données qu’ils peuvent modifier unilatéralement et de CCT v2 auxquels les RT doivent adhérer d’office.
Force est de reconnaître que, dans le cas des solutions Cloud étatsuniennes, les données étant nécessairement stockées en clair (non chiffrées) dans les systèmes, il n’existe à l’heure actuelle pas de mesure satisfaisante permettant de contrer l’accès aux données par les instances gouvernementales. Ceci est pourtant le cœur même du problème avec des réglementations comme le FISA mais aussi le Cloud Act de 2018.
Enfin, dernière difficulté majeure, conséquence imprévue de l’arrêt Schrems II : l’effet de rebond. En effet, dans le cas des États-Unis, l’extraterritorialité du FISA et du Cloud Act suppose que les filiales européennes d’entreprises américaines peuvent se voir obligées de transmettre à leur maisons-mères des données personnelles en clair, quand bien même celles-ci ne seraient stockées et manipulées qu’en Europe.
Depuis près d’un an, les entreprises opèrent donc un véritable travail d’équilibriste pour naviguer au milieu de ces difficultés. C’est dans ce climat d’incertitude, de fatalisme, voire d’attentisme pour certains que sont tombées les premières décisions Google Analytics.
Effondrement du statu quo suite aux décisions Google Analytics
Courant 2021, None of your Business (NOYB), association co-fondée par Max Schrems, a déposé 101 plaintes auprès de plusieurs autorités de contrôle européennes contre des sites web utilisant Google Analytics ou Facebook Connect. C’est ce que NOYB appelle facétieusement les “101 dalmatiens”.
En janvier 2022, la première sanction tombe. Le Contrôleur européen de la protection des données (EDPS) sanctionne le Parlement européen pour son utilisation de cookies sur le site web qu’il avait mis en place pour permettre à ses employés de s’inscrire à des tests de dépistage de la COVID-19.
Outre une argumentation générale sur le manque d’informations des personnes concernées quant à l’utilisation de certains cookies, l’EDPS reproche au Parlement européen l’utilisation de Google Analytics au motif que celle-ci suppose un transfert des données à Google LLC aux États-Unis. Par conséquent, ces données sont soumises aux dispositions du FISA et du Cloud Act et donc rien ne saurait empêcher leur divulgation aux services de renseignement étasuniens. L’EDPS met donc en demeure le Parlement de cesser cette pratique.
Une semaine plus tard, c’est au tour de l’autorité de contrôle autrichienne (DSB) de rendre une décision similaire. Celle-ci souligne que même en ayant mis en place des CCT v2, réalisé un TIA et adopté des TOMs supplémentaires, l’utilisation de Google Analytics reste illicite au regard du RGPD.
Puis, en février dernier, l’autorité de contrôle française (CNIL) rend sa propre décision. Elle y analyse chacune des mesures supplémentaires mises en place par le RT et Google, et conclut qu’aucune n’est suffisante pour garantir que les données ne seront pas fournies aux instances et services de renseignement étasuniens. Elle confirme que cette seule possibilité est contraire aux articles 44 et suivants du RGPD. Tout comme l’EDPS et la DSB avant elle, la CNIL ne prononce pas de sanction financière mais adresse une mise en demeure.
Google Analytics, le dernier rebondissement : une approche par les risques en matière de transferts serait contraire au RGPD
En réponse à ces récentes décisions, Google propose une nouvelle version de Google Analytics présentée comme conforme puisqu’elle anonymise les adresses IP collectées. À nouveau, en avril dernier, la DSB déclare l’outil illégal, notamment au motif que l’anonymisation de l’IP n’intervient qu’après la collecte des données.
Plus inquiétant encore, la DSB rejette l’argumentation de Google basée sur une approche par les risques. L’autorité précise que la légalité d’un transfert (et donc la possibilité d’y procéder ou non) ne dépend ni du niveau de risque, ni de la volumétrie, ni de la sensibilité des données.
Compte tenu du nombre de saisines en attente partout dans l’UE et de l’alignement des 27 autorités de contrôle lors d’une task force sur le sujet, nul doute que d’autres décisions similaires vont suivre, éventuellement plus sévères avec le prononcé de sanctions pécuniaires.
Dans les différents secteurs, alors que la décision Schrems II était parfois abordée avec légèreté, nous notons désormais une réelle prise de conscience des problématiques liées aux transferts de données vers les États-Unis. La panique s’installe. De nombreux hébergeurs de sites web abandonnent Google Analytics dans la foulée ou se préparent à le faire. Les entreprises entament des cartographies de leurs outils utilisant la solution de Google pour envisager des alternatives européennes, et être en mesure de procéder à des comparaisons et des estimations de coûts.
La perspective d’un nouvel accord
En mars dernier, la Commission européenne et la Maison Blanche annoncent conjointement être parvenues à un accord de principe sur un nouvel outil bilatéral d’encadrement des transferts de données entre l’UE et les États-Unis.
À date, aucun brouillon de cet accord n’a été publié. Les accords de principe mettent en général 2 à 4 mois pour être traduits en un texte juridique. L’annonce laisse néanmoins entrevoir quelques grandes lignes de l’accord qui cherchent à répondre directement aux motifs qui ont conduit à l’annulation du Privacy Shield.
Les États-Unis se sont ainsi engagés à réformer leur régime de protection des données personnelles dans le cadre spécifique des activités de renseignement. Ces activités devront notamment prendre en compte les principes de nécessité et de proportionnalité dans le cadre des demandes d’accès à des données personnelles pour des raisons de sécurité nationale. De plus, les États-Unis se sont engagés à mettre en place un mécanisme de recours à deux niveaux ainsi qu’à produire de l’information claire et transparente sur leurs activités de renseignement.
Enfin, la Commission et la Maison blanche ont parlé de la mise en place d’une cour indépendante qui sera compétente pour traiter les plaintes de personnes concernées par un transfert de leurs données aux États-Unis et une demande d’accès des instances gouvernementales ou des services de renseignement des États-Unis.
Nouvelle déception ou acte final ?
Ces engagements provoquent deux types de réactions :
- Les optimistes y voient une sécurisation rapide et certaine de leurs activités de transferts vers les États-Unis. Mais cette annonce n’atténue pas leurs regrets s’agissant des investissements et du travail engagés du fait de la décision Schrems II.
- Certaines organisations moins optimistes rappellent que ce nouvel accord d’adéquation ne concerne que les États-Unis et ne changera donc pas la nouvelle doctrine adoptée en matière de transferts vers les pays inadéquats (et notamment, rappelons-le, en cas de transfert ultérieur). De plus, le temps nécessaire à la traduction de l’accord en dispositions légales laisse encore planer le doute quant à l’utilisation d’outils comme Google Analytics ou reCAPTCHA.
Le contexte particulier du conflit russo-ukrainien
Enfin il convient de rappeler le contexte particulier dans lequel cet accord a été annoncé. Il a été conclu en même temps qu’un autre accord transatlantique, celui sur la fourniture de gaz par les États-Unis à l’UE en réponse au conflit russo-ukrainien et aux pénuries de gaz naturel s’en suivant.
Pendant deux ans, les instances exécutives et juridictionnelles européennes ont été intransigeantes sur la concurrence que le Cloud Act et le FISA présentaient pour les principes du RGPD. L’acceptation de cet accord de principe interroge donc alors même que les États-Unis maintiennent leur position selon laquelle un No-spy Act serait inenvisageable. Autrement dit, rien ne permet d’éviter que les services de renseignement étasuniens puissent demander d’accéder aux données des Européens.
Il faut rappeler que les transferts de données personnelles vers les États-Unis se traduisent par une économie qui représente près de 1000 milliards d’euros pour les États-Unis.
Ce nouvel accord transatlantique sur la protection des données apparaît dès lors comme une simple monnaie d’échange que les États-Unis ont imposé pour leur coopération avec l’accord sur la fourniture de gaz naturel.
Un énième accord politique voué à disparaître ?
À l’instar du Safe Harbour et du Privacy Shield, le nouvel accord transatlantique semble n’être qu’un énième accord politique. Et on imagine mal comment, sans No-spy Act, cet accord pourrait respecter les exigences de la CJUE et des autorités de contrôle.
Dans une déclaration sur ce nouvel accord3, l’EDPB a déjà émis des réserves. De plus, la CJUE se dit également prête à évaluer la conformité de ce nouvel accord si elle était saisie de la question.
Il est possible qu’elle n’ait pas à attendre longtemps avant que cela se produise puisque Max Schrems a déjà déclaré que l’association NOYB attend avec impatience le brouillon de l’accord que ses experts étudieront en détail.
Il est donc probable que cet accord ne soit qu’un Privacy Shield 2.0 voué à disparaître à son tour. On est loin de la décision d’adéquation pérenne tant attendue par les acteurs du milieu privacy.
Le danger d’attendre l’accord
Dans ces conditions, il est crucial de ne pas relâcher les efforts de conformité à travers l’implémentation des CCT version 2. Non seulement celles-ci continueront à s’appliquer pour les destinations autres que les États-Unis, mais elles sont également l’opportunité de renforcer ses processus de Privacy-by-design et d’améliorer grandement sa résilience en matière de sécurité.
Décision d’adéquation ou non, on ne peut plus rester aveugle face aux risques que la législation étatsunienne fait peser sur la vie privée. Un sentiment partagé par les instances européennes qui ont saisi l’occasion pour tenter de renforcer la régulation du secteur du numérique.
L’équipe Cybersécurité de Devoteam vous accompagne dès à présent afin de prendre en compte l’ensemble de vos scénarios.
Pour savoir comment nous pouvons vous aider dans la mise en conformité de vos organisations, contactez nos experts en compliance.
1 https://www.digitaleurope.org/resources/schrems-ii-impact-survey-report/
2 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr
3 https://www.cnil.fr/sites/default/files/atoms/files/declaration_01-2022_du_cedpb_sur_lannonce_dun_accord_de_principe_sur_un_nouveau_cadre_transatlantique_pour_la_protection_des_donnees.pdf
