Invalidation du Privacy Shield, adoption du CLOUD Act… Quelles conséquences pour le transfert des données vers les États-Unis ? Magalie Dansac Le Clerc a accepté de nous éclairer sur ces sujets épineux.
Magalie Dansac Le Clerc est Partner au sein de l’équipe ITC de Baker McKenzie à Paris. Elle conseille des entreprises technologiques et de grands utilisateurs de services IT, et a développé depuis plus de douze ans une expertise spécifique dans le domaine des contrats IT et de la protection des données personnelles.
Que prévoit la réglementation européenne en matière de transfert des données vers les pays tiers ?
Même si cela peut surprendre au premier abord, c’est un principe d’interdiction des transferts de données personnelles en dehors de l’Union Européenne que prévoit cette réglementation. Une interdiction assortie d’exceptions, heureusement, mais tout de même une interdiction, et cela depuis longtemps, même avant le Règlement Général sur la Protection des Données (RGPD). Même si le débat tend parfois à accrocher les problématiques de protection d’information stratégiques nationales ou de localisation des données en France, cette réglementation relève avant tout d’une volonté de protéger la vie privée des individus, afin de donner aux personnes concernées une maîtrise de l’utilisation qui est faite de leurs données.
Pourquoi la réglementation prévoit-elle un principe d’interdiction ? Le niveau de protection de ces données personnelles par les législation des pays non européens n’est pas forcément aussi élevé que celui accordé aujourd’hui par le RGPD.
Or, dans une économie numérique, on ne peut valablement empêcher les données de circuler, y compris depuis l’Europe vers des pays non-européens.
Grâce à des critères d’application très larges, le RGPD va alors accompagner les données, pour offrir aux personnes concernées européennes un niveau de protection équivalent. Ce sont les entités transférant les données, en général les « responsables de traitement », qui doivent s’assurer de la mise en place de mécanismes encadrant ces transferts.
À présent que l’on a rappelé ces principes, plusieurs points méritent d’être détaillés : d’abord, il faut bien comprendre quels sont ces « pays tiers ». Il s’agit de tous les pays situés en dehors de l’Union européenne. Néanmoins, des pays tiers (donc hors UE) peuvent être parfois considérés comme offrant un niveau de protection approprié, notamment lorsqu’ils ont fait l’objet d’une décision d’adéquation adoptée par la Commission européenne (par exemple pour l’Argentine, Israël, la Suisse, ou encore le Canada). Lorsque c’est le cas, les transferts des données vers ces pays ne sont pas considérés comme des transferts vers des pays tiers et sont donc autorisés.
À propos des pays tiers, il est intéressant de se pencher sur le cas du Royaume-Uni, qui depuis le Brexit est considéré comme un pays tiers. L’accord qui a été conclu en décembre 2020 prévoit une période transitoire de six mois, permettant aux entreprises européennes de transférer librement des données personnelles vers le Royaume-Uni. Cependant, à partir du 1er juillet 2021, si le Royaume-Uni ne fait pas avant cette date l’objet d’une décision d’adéquation, les entreprises concernées devront mettre en place des mécanismes de protection des transferts de données personnelles conformes au RGPD.
Il est également important à ce stade de préciser ce qu’est un transfert.
La notion de transfert des données vers un pays tiers, telle que définie par les autorités européennes et notamment la CNIL, est une notion large qui couvre toute communication, toute copie ou déplacement des données personnelles, ayant vocation à faire l’objet d’un traitement dans le pays importateur.
Un simple accès est un transfert : la donnée n’a pas besoin de se déplacer physiquement. Il suffit qu’une entité, située par exemple aux États-Unis, ait besoin de lire une donnée correspondant à une personne concernée française, collectée et traitée par exemple par son employeur français, pour que cela constitue un transfert. Le problème est donc très vaste, car même si une entreprise européenne décide de faire appel à un prestataire européen, il faut bien penser à tous les accès qui vont découler de la mise en place de cette relation. En effet, même si ces données sont hébergées en Europe, il peut y avoir par exemple des services de maintenance à distance qui nécessitent d’avoir accès aux données et qui sont effectués depuis des pays tiers. Dans les sociétés à dimension internationale, le besoin d’échanger des informations au niveau du groupe génère également de nombreux transferts de données personnelles, et tous ces transferts doivent être encadrés sous peine de violer le RGPD. Les sanctions sont très élevées : 20 millions d’euros, 4% du chiffre d’affaires mondial…
Concernant les mécanismes pouvant être utilisés pour permettre le transfert de données en dehors de l’UE, le RGPD fournit différents outils pour encadrer ces transferts : en plus du Privacy Shield, qui pouvait être utilisé jusqu’à l’année dernière pour les transferts vers les États-Unis, il y a d’autres dispositifs, comme les Clauses Contractuelles Types approuvées par la Commission européenne qui peuvent être intégrées dans des contrats de transfert de données entre une entreprise qui exporte les données et une entreprise importatrice ; il y a également les règles d’entreprise contraignantes (plus connues sous le nom de Binding Corporate Rules), qui correspondent à des politiques de protection des données intragroupes. Il est également possible d’adopter un code de conduite ou un mécanisme de certification, tout en obtenant un engagement contraignant le destinataire d’appliquer les garanties qui y figurent. Sur ces derniers exemples, il y a encore très peu de cas d’applications.
Enfin, il existent les dérogations au principe d’encadrement général des transferts vers les pays tiers, qui incluent le consentement de la personne concernée, les cas dans lesquels le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement, ou encore le motif important d’intérêt public. Là encore, la règle est l’interprétation stricte de ces exceptions.
LIRE AUSSI >> Cloud computing : quelle réglementation applicable ?
La CJUE a invalidé le Privacy Shield par un arrêt rendu le 16 juillet 2020. Quelles sont les raisons de cette invalidation ?
La CJUE a en effet pris cette décision d’invalidation dans le cadre de l’affaire Schrems, qui a causé un petit tremblement de terre dans le monde de la « data privacy ». Le Privacy Shield était cet outil adopté en 2016 entre l’Union européenne et les États-Unis pour encadrer les transferts de données personnelles européennes vers les États-Unis.
Ce « Bouclier de Protection de la Vie Privée » avait été adopté suite à l’invalidation en 2015 de son prédécesseur, le Safe Harbor, par la même Cour de justice, dans le cadre de la même affaire Schrems.
Dès l’adoption du Privacy Shield en 2016, les autorités européennes avaient relevé un certain nombre de lacunes dans ce nouvel accord, lui reprochant un manque de clarté, des imprécisions quant au régime de surveillance massive des données, ainsi que des incertitudes relatives à l’efficacité et à l’indépendance du médiateur, la nouveauté qui devait faire la différence. Les détracteurs du Privacy Shield ont souligné le fait que ce dernier était très proche du Safe Harbor et qu’il ne marquait pas de réelles avancées.
La CJUE s’est prononcée sur les exigences du droit américain, en particulier sur ses programmes de surveillance qui permettent l’accès, par des autorités publiques américaines, aux données personnelles transférées de l’Europe vers les États-Unis à des fins de sécurité nationale. Elle a analysé précisément ces dispositifs en concluant qu’ils entraînaient des limitations de la protection des données personnelles et que ces limitations n’étaient pas circonscrites de manière à satisfaire des exigences essentiellement équivalentes à celles requises par le droit de l’Union européenne . Un des points qui a été relevé était que cette législation américaine ne permettait pas aux personnes concernées d’exercer des droits de recours auprès des juridictions contre les autorités américaines.
La décision d’invalidation du Privacy Shield prononcée par la CJUE a été d’effet immédiat. Ainsi, dès le 17 juillet 2020, toutes les entreprises qui se reposaient sur cette certification pour transférer les données vers les États-Unis se sont retrouvées dans une situation de violation du RGPD. Elles ont dû de toute urgence réfléchir aux autres mesures qui leur permettent de les transférer. La tendance naturelle est de se tourner vers les Clauses Contractuelles Types. Mais le problème est que ces dernières ont été également largement impactées par l’arrêt Schrems 2 du 16 juillet 2020.
LIRE AUSSI >> La profession d'avocat est-elle compatible avec le télétravail ?
La décision de la CJUE a donc également eu un impact sur les Clauses Contractuelles Types ?
Oui. À première vue, l’arrêt confirme la validité des Clauses Contractuelles Types, qui étaient aussi en cause dans cette affaire. Néanmoins, la CJUE précise que pour les utiliser, il faut procéder à une analyse au cas par cas des conditions de transfert, de la législation s’appliquant à l’entreprise dans laquelle les données sont transférées, et déterminer la nécessité ou non d’adopter des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu dans l’Union européenne.
Au mois de novembre, le Comité Européen de la Protection des Données (CEPD) a publié un projet de recommandations, soumis à une consultation publique. Nous attendons encore la mise à jour de ces recommandations, qui ont eu pour objectif de préciser aux entreprises européennes comment mener l’analyse évoquée par la CJUE et quelles mesures adopter. Le CEPD a proposé une méthodologie d’analyse en six étapes :
-cartographier les transferts,
-identifier les outils utilisés,
-évaluer l’efficacité de ces outils dans le pays de destination,
-définir des mesures supplémentaires possibles,
-mettre en oeuvre ces mesures supplémentaires,
-procéder à une réévaluation régulière.
Ces recommandations ont été accueillies de façon mitigée parce qu’elles ne fournissent pas toutes les réponses attendues, et surtout parce que les étapes cruciales que sont les étapes 3 et 4, d’analyse de la réglementation locale et d’identification des mesures supplémentaires, constituent un travail immense pour les entreprises.
De plus, concernant les États-Unis, la situation demeure extrêmement compliquée, dans la mesure où le droit américain a déjà été analysé de façon précise par la CJUE dans le cadre de l’affaire Schrems II portant sur des transferts vers Facebook - la CJUE a conclu que cette législation ne fournissait pas de mécanisme de protection suffisant. On arrive dès lors rapidement à l’étape 4 de la méthodologie préconisée, qui est l’identification et la mise en œuvre de mesures complémentaires de protection. Or, les exemples de mesures complémentaires fournis par le CEPD sont très difficiles à exploiter.
Il faut aussi considérer la version mise à jour des Clauses Contractuelles Types publiée en novembre 2020 par la Commission Européenne. Leur portée est encore en train d’être analysée, mais elles pourraient constituer une partie de la solution pour les transferts vers les États-Unis.
Ainsi en ce qui concerne les cas de transferts vers les États-Unis, les entreprises sont actuellement face à une impasse pour trouver des mécanismes permettant ces transferts dans des conditions conformes au RGPD.
Des discussions sont en cours. Il y a du côté américain une volonté réelle d’aboutir à un nouveau Privacy Shield, le plus rapidement possible.
Dans quelle mesure le CLOUD Act américain remet-il en cause l’efficacité de la protection élaborée par la réglementation européenne ?
Cette question dépasse le débat relatif à la protection des données personnelles des individus et peut avoir un impact sur les choix de prestataires par les entreprises européennes.
Dans le CLOUD Act, CLOUD est l’acronyme de Clarifying Lawful Overseas Use of Data, qui peut se traduire par « clarifier la loi sur l’utilisation légale des données à l’étranger ». Il ne s’agit donc pas d’une loi sur le cloud computing, même si elle s’applique bien dans les faits aux fournisseurs de services électroniques, notamment en mode cloud.
Cette loi a été promulguée en mars 2018, la même année que l’entrée en application du RGPD. Sur fond d'affaire avec Microsoft, le CLOUD Act est venu modifier les conditions d’accès par les autorités américaines aux données stockées par les prestataires de services électroniques dans le cadre de procédures pénales, que ces données soient stockées sur le territoire américain ou à l’étranger.
La problématique essentielle attachée à cette loi est sa portée extraterritoriale, en raison du critère large retenu concernant son champ d’application : elle prévoit de s’appliquer à tous les prestataires sujets à la juridiction américaine. Il suffit qu’une société soit soumise au droit américain pour se voir appliquer la procédure de communication des données prévue par le CLOUD Act.
Or, une société de droit américain, c’est non seulement une société établie aux États-Unis, mais c’est aussi une filiale d’une société américaine ou une société non américaine avec une filiale aux États-Unis, ou encore une société non américaine qui offre depuis l’étranger des services électroniques au marché américain. Cela concerne donc un nombre très important d’acteurs.
Il suffit d’une assignation d’un juge américain pour les obliger à transmettre les données stockées sur les serveurs, même si ces derniers ne sont pas aux États-Unis. Ces transmissions peuvent être faites à tout juge américain qui en fait la demande, sans que le détenteur des données, ni son pays de résidence, ni la personne concernée n’en soient informés. Pour bénéficier de recours et de réciprocité, il faudrait passer par un accord mutuel (executive agreement), que la France n’a pas encore signé.
Au vu de ses impacts potentiels, se demander si le CLOUD Act remet en cause l’efficacité de la réglementation de protection des données personnelles est légitime. Dans les deux cas il est question d’accès aux données, mais avec le CLOUD Act, nous sommes dans un esprit contraire à ce que prévoit le RGPD, dans lequel il y a un responsable qui décide des moyens et des finalités du traitement, et où la personne concernée doit avoir en principe la maîtrise de ses données et des accès.
Pour autant, on ne peut se contenter de dire que le CLOUD Act s’oppose au RGPD. Notamment parce que les données requises par un juge en vertu du CLOUD Act ne sont pas forcément des données personnelles ; le CLOUD Act en principe ne concerne que des enquêtes pour des activités criminelles majeures. Ainsi le CLOUD Act complète le dispositif mis en place par le RGPD. De plus, la transmission des données vers les États-Unis peut être couverte par certaines exceptions prévues par le RGPD.
S’il n’y a pas contradiction totale entre les deux, il faut tout de même relever le cumul des contraintes qui s’appliquent aux entreprises en cas de recours à un prestataire américain. Pour limiter les risques tant sur la partie RGPD que sur la partie CLOUD Act, il est possible de mettre en œuvre certaines solutions, comme celle du chiffrement. Toutefois, la mise en place de la technique de chiffrement est extrêmement complexe et elle peut ne pas être adaptée au type de prestation proposée.
Ainsi, la réponse commerciale à cette situation de grande contrainte juridique peut être le choix de fournisseurs de services européens, lorsque cela est possible.
Sur fond d’enjeux de souveraineté numérique, on a parlé récemment du lancement du projet européen Gaia-X mené par une association privée et composé d’une vingtaine d’entreprises allemandes et françaises. L'« Airbus du Cloud » porte l’ambition de faire la même chose que les géants américains du Iaas ou du Saas, qui stockent aujourd’hui une grosse partie des données des Européens.
Un mot de conclusion ?
Le RGPD peut être vu comme une contrainte. Il est vrai qu’il érige un certain nombre d’obstacles aux échanges de données personnelles. Néanmoins, ces limitations trouvent leur bien-fondé dans le besoin de protéger les droits des individus, et donc de tenir compte des conditions dans lesquelles leurs données seront traitées après leur transfert. Les acteurs de ces échanges doivent donc s’organiser pour mieux protéger, quitte, à défaut de solution pour bien protéger, à ne plus transférer. Le RGPD devient alors une opportunité - forcée - de rationaliser sa politique de transfert.
LIRE AUSSI >> Predictice lance le Lawyer Cloud Act
Docteure en droit et diplômée de l'Essec, Eloïse est rédactrice en chef du Blog Predictice.
Appelez au 
