La Cnil européenne pose les conditions à respecter pour transférer des données en dehors de l'UE
La Cnil européenne vient de rendre ses conclusions sur les mécanismes de transfert de données en dehors de l'UE, notamment vers les Etats-Unis. Soumises à consultation, ces recommandations étaient très attendues depuis l'invalidation du Privacy Shield, texte qui autorisait les transferts de données outre-Atlantique.
Le Comité européen de la protection des données (EDPB), qui chapeaute le travail des Cnil nationales, vient de publier ses recommandations sur les conditions à respecter pour légalement transférer des données en dehors de l'UE.
Dans le cadre de Schrems II
Ce document d'une trentaine de pages s'inscrit dans le cadre de la décision "Schrems II", rendue par la Cour de justice de l'Union européenne (CJUE) en juillet dernier et invalidant l'accord qui autorisait les transferts de données outre-Atlantique.
L'affaire avait soulevé une vague d'incertitudes et le Comité vient en partie y répondre en posant les conditions à respecter pour pouvoir transférer des données malgré la fin du Privacy Shield. Précision importante, ces lignes directrices sont soumises à une consultation publique ouverte du 11 au 30 novembre 2020. Mais, en attendant, elles s'appliquent pleinement.
Pas de solution unique
"Les implications de l'arrêt Schrems II s'étendent à tous les transferts vers des pays tiers. Il n'y a donc pas de solution miracle, ni de solution unique pour tous les transferts car cela reviendrait à ignorer la grande diversité des situations auxquelles les exportateurs de données sont confrontés", a déclaré Andrea Jelinek, la président de l'EDPB.
Le Comité européen rappelle que les responsables de traitement s'appuyant sur le mécanisme des clauses contractuelles types sont tenus de vérifier, au cas par cas, si la législation du pays tiers assure un niveau de protection équivalent à celui garanti dans l'Espace économique européen (EEE). Il ajoute que, dans sa décision, la CJUE a permis aux exportateurs d'ajouter des garanties supplémentaires aux clauses contractuelles types pour assurer le respect effectif de ce niveau de protection lorsque les gages contenus dans les clauses ne sont pas suffisantes.
Aider les responsables de traitement à identifier les mesures appropriées
Ainsi, ces recommandations visent à aider les responsables de traitement et les sous-traitants dans leur devoir d'identifier et de mettre en œuvre des mesures supplémentaires appropriées. L'objectif du Comité est d'assurer une application cohérente du Règlement général sur la protection des données (RGPD) et de l'arrêt du juge européen qui a soulevé de nombreuses interprétations divergentes.
La procédure de vérification qui incombe aux responsables de traitement se déroule en six étapes. La première consiste dans le recensement de tous les transferts internationaux envisagés, autrement dit avoir une vue d'ensemble de la situation. Ce faisant, les principes de minimisation des données et de limitation des finalités doivent être respectés, ce qui signifie que les exportateurs de données doivent s'assurer qu'ils ne transfèrent que des données pertinentes et le moins possible.
Deuxièmement, le Comité demande aux exportateurs de données de vérifier les outils de transferts utilisables (décision d'adéquation, clauses contractuelles types…). Puis, ils doivent évaluer le régime juridique du pays destinataire. Si l'exportateur de données s'appuie sur des garanties appropriées, il doit évaluer dans quelle mesure le droit ou les pratiques du pays peuvent attenter à l'efficacité de ces garanties. Il est recommandé à l'exportateur de demander des conseils à l'importateur de données et de l'obliger, par le biais d'un contrat, à fournir des conseils sur la législation applicable.
De plus, les responsables de traitement doivent identifier puis adopter une ou plusieurs mesures complémentaires pour amener le niveau de protection des données à un niveau équivalent de celui garanti par l'Europe. Puis, ils devront prendre toute mesure procédurale formelle pour adopter ces mesures. Enfin, ils sont tenus de réévaluer périodiquement le niveau de protection des données.
Dans certains cas, aucun transfert n'est possible
Mais attention, le Comité indique qu'il est tout à fait possible qu'il n'existe pas de mesures complémentaires permettant un transfert de données. "Vous pourriez finalement constater qu'aucune mesure complémentaire ne peut assurer un niveau de protection équivalent, prévient-il. Dans ce cas, "vous devez éviter, suspendre ou mettre fin au transfert pour éviter de compromettre le niveau de protection des données à caractère personnel", ajoute-t-il.
Dans la situation où des mesures complémentaires suffisent, l'EDPB indique qu'elles peuvent avoir "une nature contractuelle, technique ou organisationnelle". Ou, encore mieux, une combinaison des trois. "La combinaison de diverses mesures (…) peut améliorer le niveau de protection et contribuer à atteindre les normes de l'UE", précise le Comité. Cependant, il affirme que les mesures "techniques" sont susceptibles d'être l'outil le plus solide contre la menace d'une surveillance étrangère.
Le Comité propose des exemples
Pour clarifier ses propos, le Comité propose des scénarios pour lesquels des mesures supplémentaires pourraient suffire à rendre un transfert international légal. A ce titre, est considéré comme autorisé le stockage de données dans un pays tiers où il n'y a pas d'accès aux données cryptées et où les clés de chiffrement sont détenues par l'exportateur des données ou par une entité de confiance dans l'UE. Même conclusion pour le transfert de données pseudonymisées, de sorte que les personnes ne peuvent plus être identifiées.
A l'inverse, le Comité suggère des cas dans lesquels aucune mesure supplémentaire efficace n'a pu être trouvée, comme les transferts à des providers de cloud qui exigent l'accès aux données et où "le pouvoir accordé aux autorités publiques du pays destinataire pour accéder aux données transférées va au-delà de ce qui est nécessaire et proportionné dans une société démocratique". Il ajoute que "compte tenu de l'état actuel de la technique", il n'existe aucune mesure qui empêcherait "cet accès de ne pas porter atteinte aux droits des personnes concernées". Ce cas s'applique particulièrement bien à la situation actuelle de Facebook, comme le note Techcrunch.
Facebook menace de fermer ses activités en Europe
Pour rappel, en vertu de l'invalidation du Privacy Shield, la Cnil irlandaise avait jugé que Facebook devait immédiatement cesser de transférer les données des utilisateurs européens vers les Etats-Unis. L'entreprise américaine avait déposé un recours contre cette décision et avait menacé de fermer ses activités en Europe.
De plus, d'après les recommandations de l'EDPB, "les mesures complémentaires ne pourront pas exclure l'application de la législation d'un pays tiers qui ne répond pas aux garanties essentielles européennes dans le cas où la législation oblige les importateurs à se conformer aux ordres de divulguer les données qu'ils reçoivent des autorités publiques". En d'autres termes, Facebook ne peut pas insérer une mention dans ses clauses contractuelles types pour exclure l'application du Foreign Intelligence Surveillance Act (FISA). Cette loi autorise expressément la National Security Agency (NSA) à récupérer les données de personnes étrangères si elles sont stockées sur des serveurs américains.
Certifier l'absence de backdoor
Le Comité suggère également l'insertion d'une clause pour essayer d'obtenir de l'importateur qu'il certifie qu'il n'y pas de porte dérobée (backdoor) dans les systèmes qui pourrait mettre les données en danger. Cependant, il avertit que "l'existence d'une législation ou de politiques gouvernementales empêchant les importateurs de divulguer ces informations peut rendre cette clause inefficace". Encore une fois, le champ d'action de Facebook s'amenuise.
L'unique solution serait donc une révision en profondeur de la législation américaine. Une hypothèse déjà formulée par Didier Reynders, commissaire européen à la justice, qui expliquait qu'"il n'y aura pas de solution miracle" pour un futur Privacy Shield car Bruxelles attend de Washington des changements dans les procédures de surveillance. Reste à savoir si l'administration Biden serait encline à cette révision.
En attendant, Facebook ne semble pas très inquiet. Sollicitée par Techcrunch, l'entreprise américaine répond simplement que "la CJUE a considéré que les clauses contractuelles types constituent un mécanisme juridique valable pour le transfert de données de l'UE, y compris vers les États-Unis. Nous prenons acte que de nouvelles lignes directrices sur les mesures supplémentaires ont été soumises à consultation et, comme beaucoup d'autres entreprises, nous les examinerons attentivement".
Sélectionné pour vous
SUR LE MÊME SUJET
La Cnil européenne pose les conditions à respecter pour transférer des données en dehors de l'UE
Tous les champs sont obligatoires
0Commentaire
Réagir
