QUE FAIRE APRÈS L’INVALIDATION DU PRIVACY SHIELD PAR LA DÉCISION DE LA CJUE « SCHREMS 2 » DU 16 JUILLET 2020 ?

COUP D’ŒIL

AVERTISSEMENT: cet article est destiné à donner des conseils pratiques aux chefs d’entreprise, de PME, de TPE ou à toute personne en charge de conformité dans une entreprise. Bien qu’écrit par une juriste spécialisée en droit européen, ce n’est pas une analyse légale du texte complexe la CJUE, ce n’est pas le but du blog MementoSafe

• “SCHREMS 2″ (1) ET LIEN AVEC VOTRE CONFORMITÉ RGPD (0), VOTRE REGISTRE DES TRAITEMENTS
• POURQUOI IL Y URGENCE À AGIR SUR VOS TRANSFERTS DE DONNÉES HORS EEE
• SOLUTIONS ? C’EST COMPLIQUÉ À CE JOUR ET CELA DEMANDERA PEUT-ÊTRE UNE ADAPTATION DE VOS HABITUDES

PUIS-JE TRANSFÉRER LES DONNÉES PERSONNELLES DANS MON ACTIVITÉ VERS LES USA COMME AVANT ?

Pour faire court: NON …

En tout cas pas avant de faire un état des lieux, de façon transversale, dans tous les aspects de votre activité, des outils (logiciels, clouds, CRM, ERP, Analytics sur votre site WEB, messagerie automatique d’envoi de newsletter…) que vous utilisez pour traiter des données personnelles.

Il est urgent pour protéger votre activité d’ouvrir votre registre des traitements et de reprendre tous les traitements de données à caractère personnel qui impliquent un transfert du territoire de l’Espace Économique Européen (2) vers les États-Unis.

Si votre registre a été bien fait, vous avez une colonne indiquant pour chacun de vos traitements si les données sont transférées hors EEE, vers quel pays et sous quelle base légale.

Vous devrez rechercher en 1er les sous-traitants ou co-responsables qui annoncent utiliser le Privacy Shield pour les transferts de données EU – USA.

Comme l’invalidation a été immédiate le 16 Juillet 2020, tous les transferts vers les USA sous cette base légale, depuis cette date, sont illégaux. Il faut signaler que les données traitées depuis cette date doivent être retournées ou effacées de leurs systèmes.

Si un sous-traitant n’a pas réagi très vite ou anticipé l’invalidation du Privacy Shield (qui était prévisible…) pour modifier ses opérations et éviter les transferts de données de l’Union Européenne vers les USA, vous devez terminer ce contrat et rechercher un autre fournisseur de service .

Non vous ne voyez rien dans votre registre des traitements sous RGPD?

C’est qu’il est incomplet.

Il est urgent d’y inscrire tous les transferts de données personnelles hors EEE et sous quelle base légale ils sont opérés, soit directement par vous, soit via vos sous-contractants (services que vous utilisez dans vos activités et traitent vos données personnelles.)

PETIT RAPPEL : DÉFINITION D’UN TRAITEMENT DE DONNÉE SOUS LE RGPD

RGPD Art 4(2) : «traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que

• la collecte,
• l’enregistrement,
• l’organisation,
• la structuration,
• la conservation,
• l’adaptation ou
• la modification,
• l’extraction,
• la consultation,
• l’utilisation,
• la communication par transmission,
• la diffusion ou
• toute autre forme de mise à disposition,
• le rapprochement ou
• l’interconnexion,
• la limitation,
• l’effacement ou
• la destruction

La simple consultation de la part d’un de vos sous-traitants hors EEE des données personnelles dans vos systèmes est un traitement, inutile de « transférer » votre fichier pour qu’il soit soumis aux règles du RGPD.

C’est le moment de relire tous vos contrats impliquant une sous-traitance de données (ou parfois une co-responsabilité de traitement)

C’est le moment de rechercher la base légale annoncée pour les transferts de données, parfois bien enfouie dans des contrats mal écrits, ou volontairement difficiles à lire, que vous avez signés peut-être un peu trop rapidement, sans relever le risque légal en cas de transfert des données.

LES CONSÉQUENCES IMMÉDIATES DE LA DÉCISION SCHREMS 2 SUR VOTRE ACTIVITÉ

ILLÉGALITÉ IMMÉDIATE DE CERTAINS DE VOS TRANSFERTS DE DONNÉES PERSONNELLES

Pourquoi certains de mes traitements sont dès le 16 juillet illégaux ?

Parce que le jugement de la Cour de Justice Européenne a un effet immédiat sur tous les États Membres de l’Union Européenne, vous y inclus si vous êtes soumis au RGPD.

Certaines Autorités Centrales de protection des données et l’organe européen regroupant toutes les Autorités Centrales des États Membres, (EDPB) comme la CNIL pour la France par exemple, ont annoncé qu’il n’y avait pas de période de grâce pour se mettre en conformité avec le régime légal européen sur les transferts hors EEE (3)

RELIRE VOS CONTRATS

CE QUE VOUS DEVEZ RECHERCHER DANS VOS CONTRATS

Si vous avez une gestion documentaire centralisée et un registre bien fait, cette opération ne devrait pas être trop complexe.

Vous devrez contacter immédiatement vos prestataires qui utilisaient le Privacy Shield USA/EU comme base légale du transfert de vos données.

Ces contrats ne sont plus valables, il faut les annuler

ATTENTION, LA DÉCISION SCHREMS 2 NE CONCERNE PAS QUE LE PRIVACY SHIELD

Il existe d’autres moyens de transférer des données hors EEE.

CLAUSES CONTRACTUELLES TYPES DE LA COMMISSION (SCC) ET RÈGLES D’ENTREPRISES CONTRAIGNANTES (BCR) (4)

Si l’arrêt de la Cour de Justice Européenne n’invalide pas les clauses contractuelles ni les règles d’entreprise, il change les contraintes d’évaluation imposées aux parties.

Désormais, les transferts de données personnelles utilisant cette forme devront être analysés sous le même angle qu’une décision d’adéquation de par la Commission.

Ce que cela veut dire:

Il existe à ce jour (juillet 2020) 12 pays vers lesquels vous pouvez envoyer vos données sans autre formalité. À noter que le Japon est le dernier à entrer dans cette liste. (5)

Pour tous les autres pays, il faut soit un instrument tel des clauses contractuelles types ou des règles entreprise contraignantes, soit trouver une base légale dans les exceptions de l’Article 49 du RGPD.

Pour l’instant, la 3ème voie pour une entreprise, qui serait un code de conduite approuvé selon la procédure de l’article 40 du RGPD ( code de conduite d’application générale dans toute l’Union Européenne) ou des certifications ou labels au niveau de l’Union selon la procédure de l’article 42 du RGPD n’est pas encore accessible bien que la Commission promette d’y travailler.

À noter: Les autorités publiques peuvent bénéficier de la voie de l’arrangement administratif prévu à l’article 46 du RGPD (6)

L’arrêt de la Cour décrit que les parties, vous, responsable, co-responsable ou sous-traitants de données personnelles, devez désormais vous assurer que le pays vers lequel vous envoyez les données offre un système de protection des données d’un niveau adéquat par rapport à celui de l’Union Européenne :

“sans exiger que le pays tiers concerné garantisse un niveau de protection identique à celui garanti dans l’ordre juridique de l’Union, l’expression « niveau de protection adéquat » doit être comprise, ainsi que le confirme le considérant 104 de ce règlement, comme exigeant que ce pays tiers assure effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des libertés et des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu dudit règlement, lu à la lumière de la Charte.“

Arrêt de la Cour, affaire C-311/18, Data Protection Commissionner contre Facebook Ireland Ltd, Maximillian Schrems VOIR note 1

La Cour fait référence aux principes de droits fondamentaux défendus dans la Charte des Droit Fondamentaux de l’Union Européenne dans ses articles 7, 8 et 47:

Article 7: Respect de la vie privée et familiale

Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses commu­nications.

Article 8 : Protection des données à caractère personnel

1. Toute personne a droit à la protection des données à caractère personnel la concernant.

2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consen­tement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.

3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante

Article 47: Droit à un recours effectif et à accéder à un tribunal impartial

Toute personne dont les droits et libertés garantis par le droit de l’Union ont été violés a droit à un recours effectif devant un tribunal dans le respect des conditions prévues au présent article.

Toute personne a droit à ce que sa cause soit entendue équitablement, publiquement et dans un délai raisonnable par un tribunal indépendant et impartial, établi préalablement par la loi. Toute personne a la possibilité de se faire conseiller, défendre et représenter.

Une aide juridictionnelle est accordée à ceux qui ne disposent pas de ressources suffisantes, dans la mesure où cette aide serait nécessaire pour assurer l’effectivité de l’accès à la justice.

CHARTE DES DROITS FONDAMENTAUX DE L’UNION EUROPÉENNE, (2012/C 326/02)

La Charte fait partie intégrante du système légal européen et est aussi mentionnée dans le RGPD.

Vous et vos sous-traitants devez désormais revoir tous les transferts basés sur les SCC ou les BCC afin d’y inclure une évaluation du régime légal du pays vers lequel les données sont transférées

Si jusqu’à maintenant les entités économiques signaient presque automatiquement les SCC, désormais elles ont une charge bien plus importante.

Vos sous-traitants doivent vous informer si ils ne sont pas en mesure d’assurer que les personnes concernées bénéficieront d’un niveau de protection des droits des personnes sur leurs données , notamment d’un recours effectif en justice pour les défendre, équivalent dans leur pays

CAS DES ÉTATS-UNIS

La cour Européenne, après examen du système de surveillance légale des USA sur les données personnelles en provenance de l’UE ( la cour fait référence aux dispositions de surveillance 50 USC § 1881a (= FISA 702) et EO 12.333 du droit américain), conclut que les droits des personnes ne sont pas défendus à un niveau équivalent à l’Europe. Elle fait référence entre autres à l’absence de recours juridictionnel efficace pour les personnes concernées en Europe

De fait, les SCC et BCR ne sont plus un instrument légal valide pour les transferts vers les USA puisque la Cour a fait une analyse détaillée du régime légal américain et ne lui a pas reconnu une équivalence selon les même critères que ceux utilisés par la Commission lors de la procédure d’adéquation d’un pays (voir ci-dessus)

CONSÉQUENCE POUR VOS RELATIONS AVEC DES SOUS-TRAITANTS OU CO-RESPONSABLES ÉTABLIS AUX USA ET Y TRAITANT LES DONNÉES DE VOTRE ACTIVITÉ

Il faut les contacter immédiatement afin de vérifier leur exposition au régime de surveillance américain incriminé par la Cour Européenne

L’association NOYB, fondée par Maximillian Schrems, donne un modèle de questionnaire (7) à adresser à vos sous-traitants établis aux USA.

Attention, il faut l’adapter à votre situation particulière après relecture de vos contrats.

CAS DE VOS SOUS-TRAITANTS ET CO-RESPONSABLES ÉTABLIS SUR LE TERRITOIRE DE L’ EEE

Il existe un dernier cas où votre entreprise pourrait être exposée aux conséquences de Schrems 2, celui de vos sous-contractants ou co-responsables de traitements de données personnelles qui font partie d’un groupe entreprises dont le siège social, la maison mère, est sur le territoire des États-Unis.

C’est le moment de leur poser des questions précises par rapport à vos contrats que vous avez bien sûr déjà révisés lors de votre mise en conformité RGPD.

Il est urgent de reprendre tous vos contrats impliquant le traitement de données personnelles dans tous les aspects de votre activité.

N’oubliez pas le “shadow IT“,(tous les outils numériques utilisés par vos collaborateurs sans que vous les ayez approuvés) , les applications ou outils que vos collaborateurs ont signé de leur propre initiative sans savoir que peut-être ils engageaient la responsabilité RGPD de votre entreprise.

Par exemple, le très utilisé service de vidéoconférence ZOOM base le transferts des données sur apparemment de multiples instruments. Vous ne pouvez plus l’utiliser pour vos conversations avec des personnes situées sur le territoire de l’EEE si les transferts sont basés sur le Privacy Shield mais quid des autres formes ?

CE QUI NE CHANGE PAS APRÈS SCHREMS 2

Les transferts de données qui ne sont pas reconnues comme données personnelles sous le RGPD peuvent continuer à être exportées vers les USA.

Par exemple des données techniques de production qui ne contiennent aucune donnée personnelle.

L’anonymisation ou le chiffrement sont parfois vantés comme des moyens d’échapper aux conséquences de Schrems 2.

ANONYMISATION DES DONNÉES

Les données anonymes sont exclues de l’application du RGPD ( considérant 26 du RGPD)

Cette technique est loin d’être parfaite (voir notre article “Ma conformité au RGPD: Anonymiser les données pour ne plus être soumis au RGPD ? » )

Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable.

RGPD considérant 26 voir note (0)

Tout le problème revient à anonymiser les données tout en leur conservant une utilité pour leur traitement lors du transfert

CHIFFREMENT DES DONNÉES ET DROIT DES ÉTATS – UNIS

De nouveaux projets de lois américains forcent à rester très prudents pour baser vos transferts sur le fait que vous données seraient protégées de l’intervention de surveillance des autorités américaines par un chiffrement solide.

Il faudrait tout d’abord être certain que les autorités américaines n’ont aucun moyen d’obtenir les clés de chiffrement, ce qui n’est pas facile à assurer pour une entité économique. Voir l’analyse de cet outil pour protéger les données de l’incursion de la surveillance des États-Unis. (8)

Par ailleurs, la tendance législative aux États-Unis va vers plus de surveillance des données. il n’y qu’à voir les 2 projets de loi :

EXCEPTIONS AU RÉGIME GÉNÉRAL DE TRANSFERT DES DONNÉES DU RGPD ART 49

L’arrêt Schrems 2 fait référence à l’article 49 du RGPD pour éviter le vide juridique provoqué par son invalidation du Privacy Shield et de l’équivalence du régime légal américain de protection des données personnelles.

RGPD art 49 https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR (accentuations ajoutées par l’auteure.)

Ces exceptions ne conviennent pas pour des transferts réguliers dans votre activité.

L’EDPB l’a d’ailleurs souligné dans son guide Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679

Chacune des exceptions est très limitative.

Un consentement explicite nécessiterait une forme renforcée tel un écrit séparé. L’information à donner sur les risques pour les droits et libertés des personnes concernées doit être très précise et à ce jour qui autorisera les autorités américaines à accéder à toutes ses données personnelles sans aucune voie de recours juridictionnel ?

CONCLUSION

• Votre registre RGPD est un allier précieux qui vous fera gagner du temps pour réviser vos contrats de sous (ou co-) -traitance de données personnelles.
• Arrêtez immédiatement tous les transferts sous le US/EU Privacy Shield, ils sont illégaux.
• Les transferts sous Standards Contractual Clauses (SCC ou clauses contractuelles types de la Commission) ou sous Binding Corporate Clauses (BCC ou Règles d’entreprise contraignantes) vers les USA sont remis en cause.
• Les transferts sous SCC et BCC vers tous les pays hors décision d’adéquation sont aussi à réviser. Des pays comme la Chine ou l’Inde pourraient être reconnus inadéquats pour vos transferts après analyse de leurs systèmes de surveillance .
• Votre seule échappatoire sûre serait de n’utiliser que des sous-traitants qui peuvent assurer que les traitements de données personnelles restent sur le territoire de l’EEE.
• C’est le moment de respecter le principe fondateur du RGPD « PRIVACY BY DESIGN » dans tous vos traitements de données personnelles

NOTES

(0) RGPD – RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR

(1) Arrêt de la Cour, affaire C-311/18, Data Protection Commissionner contre Facebook Ireland Ltd, Maximillian Schrems, curia.europa.eu/juris/celex.jsf?celex=62018CJ0311&lang1=fr&type=TXT&ancre=

Pour un résumé de l’affaire voir “ Cour de justice de l’Union européenne COMMUNIQUE DE PRESSE n° 91/20, Luxembourg, le 16 juillet 2020 La Cour invalide la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis“ https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fr.pdf

(2) Espace Économique Européen, https://fr.wikipedia.org/wiki/Espace_%C3%A9conomique_europ%C3%A9en

(3) CNIL, Invalidation du « Privacy Shield » : les premières questions-réponses du CEPD, 31 juillet 2020 https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-premieres-questions-reponses-du-cepd

European Data Protection Board (EDPB)- Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems- Adopted on 23 July 2020- https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en

(4) Clauses contractuelles types de la Commission https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne

Les règles d’entreprise contraignantes (BCR) https://www.cnil.fr/fr/les-regles-dentreprise-contraignantes-bcr

(5) Liste des pays reconnus par la Commission comme adéquats https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_fr

Carte interactive sur la protection des données dans le monde, CNIL, https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde

(6) Arrangement administratif France- CNIL https://www.cnil.fr/fr/tag/Arrangements+administratifs

(7) NOYB, Next steps for EU Companies § FAQ, July 20, 2020  https://noyb.eu/en/next-steps-eu-companies-faqs

(8) Lukasz Olejnik- “Technology impact of Privacy Shield invalidation – is it the EU data localization?“ https://blog.lukaszolejnik.com/technology-impact-of-privacy-shield-invalidation-is-it-the-eu-data-localization/

(9) S.2383 – CLOUD Act https://www.congress.gov/bill/115th-congress/senate-bill/2383/text

(10) Qu’est-ce que Gaia-X, le soi-disant « cloud européen » ?, JdG https://www.journaldugeek.com/2020/06/05/gaia-x-cloud-europeen-bonne-idee/

(11) GAIA-X: A Pitch Towards Europe – https://www.data-infrastructure.eu/GAIAX/Redaktion/EN/Publications/gaia-x-a-pitch-towards-europe.pdf?__blob=publicationFile&v=3

Gaia-X : lancement officiel du projet de “cloud européen” franco-allemand, SIÈCLE DIGITAL, 7 juin 2020, https://siecledigital.fr/2020/06/07/gaia-x-lancement-officiel-du-projet-de-cloud-europeen-franco-allemand/