Le 17 juillet 2020, un séisme majeur a eu lieu dans le monde des technologie. Comme tout événement absolument majeur se déroulant en dehors du monde physique, et peut-être parce que tout le monde est un peu usé de gérer des urgences, cet événement ne semble pas avoir été considéré à la hauteur de ce qu’il représente. Voici quelques explications :

Le contexte et la décision de justice

Tout transfert de données à caractère personnel soumis au RGPD (donc si vous êtes européen ou que vous traitez des données d’européens, tout transfert) vers les USA est dorénavant interdit, quel que soit le mécanisme de transfert choisi, et en particulier le très très répandu Privacy Shield. En effet la Cour de Justice de l’Union Européenne a éclairci la situation suite aux questions de Maximilien SCHREMS (en photo d’entête) datant du 9 mai 2018 dans son arrêt du 17 juillet 2020 (C-311/18) : le cadre juridique états-unien ne permet pas, du fait de l’ampleur de l’atteinte portée aux droits fondamentaux des personnes dont les données sont transférées vers les USA, de pouvoir considérer le pays comme adéquat dans le cadre du Privacy Shield. La CJUE a estimé que les exigences du droit américain, et en particulier certains programmes permettant l’accès des autorités publiques américaines aux données personnelles transférées de l’UE vers les États-Unis à des fins de sécurité nationale, entraînent des limitations de la protection des données personnelles qui ne sont pas circonscrites de manière à satisfaire à des exigences essentiellement équivalentes à celles requises par le droit de l’UE, et que cette législation n’accorde pas aux personnes concernées des droits de recours devant les juridictions contre les autorités américaines, surtout pour les personnes non-américaines.

Les conséquences juridiques immédiates

Pour faire simple, du Privacy Shield, en passant par les règles d’entreprise contraignantes (BCR) ou les clauses contractuelles types, aucun mécanisme de transfert transparent de donnée à caractère personnel aux USA n’est plus conforme au RGPD. Ainsi tout transfert actuellement opéré vers les USA est parfaitement illégal à date de l’arrêt, sans délai de « bienveillance ».

L’amende encourue pour transfert de données hors UE ne permettant pas de garantir les droits et libertés des personnes de manière équivalente est le maximum : 20.000.000€ ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent (« le montant le plus élevé étant retenu », RGPD art.83.5.c).

Les cas où des transferts vers les USA sont toujours possibles

Ne vous réjouissez pas trop vite malgré le titre de ce paragraphe, c’est un tsunami et ça le restera jusqu’à la fin de cette publication. Ici vous aurez d’abord les possibilités, puis les restrictions, donc nous recommandons d’éviter tout soulagement intempestif.

Certains transferts sont cependant toujours possibles, dans des conditions drastiques, indiquées au RGPD art.49 alinéa 1 :

  1. la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées;
  2. le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures pré-contractuelles prises à la demande de la personne concernée;
  3. le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale;
  4. le transfert est nécessaire pour des motifs importants d’intérêt public;
  5. le transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice;
  6. le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement;
  7. le transfert a lieu au départ d’un registre qui, conformément au droit de l’Union ou au droit d’un État membre, est destiné à fournir des informations au public et est ouvert à la consultation du public en général ou de toute personne justifiant d’un intérêt légitime, mais uniquement dans la mesure où les conditions prévues pour la consultation dans le droit de l’Union ou le droit de l’État membre sont remplies dans le cas d’espèce.

Cependant, le point 7 ci-dessus ne peut être utilisé que pour des données très partielles, les points 1, 2 et 3 ne sont pas disponibles aux autorités publiques… et dans l’ensemble, nous vous indiquons de bien regarder les conditions particulières d’application de chacun des points.

Les conséquences opérationnelles

En somme, les conséquences opérationnelles sont majeures, nombreuses et complexes. Ce que nous vous présentons ici n’est ni exhaustif ni spécifique :

En ce qui concerne vos activités directes, il convient d’envisager tous les traitements réalisés aux USA, du stockage de données en passant par l’administration de systèmes ou la destruction de supports de données, et les remplacer (comprendre « arrêter ») sans délai.

En ce qui concerne vos sous-traitants, pensez à

  1. passer en revue l’ensemble de vos contrats de sous-traitance/externalisation pour identifier les clauses autorisant les transferts vers les USA
  2. négocier des avenants contractuels avec tous les sous-traitants concernés pour modifier ces clauses
  3. auditer vos sous-traitants (dans le cadre de votre programme d’audit interne et sous-traitants) pour vous assurer qu’aucun transfert aux USA n’ait lieu, en considérant que beaucoup de transferts sont « invisibilisés » (ex: vous avez pris des services chez Amazon Web Services, dont les données sont dites localisées en Europe, mais il faut aussi vous assurer que l’administration de vos données par le prestataire soit bien réalisée en Europe également, et que la législation états-unienne visée par l’Arrêt ne s’applique pas même si toutes les données et sous-traitements sont situées en Europe).

Au-delà de vos propres traitements

Votre organisation incite des collaborateurs à publier sur les réseaux sociaux les plus connus ? Vous recruter via les réseaux sociaux ? Vous utilisez les solutions de stockage et de calcul des GAFAM (Azure, AWS, Google Cloud…), comment pouvez-vous assurer juridiquement que cela est légal ? Vous prospectez avec SalesForce ou équivalent ? Vos enfants utilisent la plateforme Office365 fournie par l’Éducation Nationale ? Vous prenez des rendez-vous via votre agenda Outlook en ligne ? Vous venez d’opter pour Google Cloud ? Vous synchronisez votre téléphone chez Apple ou Google ? Et vos photos ? Votre prochaine visioconférence utilisera quelle plateforme au juste ?

Voilà des questions pour lesquelles des réponses sont, depuis le 17 juillet 2020, juridiquement nécessaires.

Conclusion

Il est maintenant, et jusqu’à preuve légale du contraire, illégal de transférer des données (pour rappel, l’affichage d’information sur un écran est un transfert) soumises au RGPD vers les USA, à des fins de stockage, de destruction ou d’administration des données et/ou de leurs supports par exemple, et ce en tant que Responsable de Traitement comme en tant que Sous-Traitant (RGPD art.44). Autrement dit, depuis le 17 juillet 2020, aucune personne physique ou morale basée aux USA ne doit plus pouvoir accéder à des données européennes (hors cas du RGPD art.49).

N’hésitez pas à questionner votre délégué à la protection des données quant aux actions à mener vis à vis de vos partenaires, clients et prospects, c’est son rôle (RGPD art.39.1.a, informer, conseiller le responsable de traitements ou le sous-traitant).

La majorité des usages habituels, qui n’étaient par ailleurs que rarement légaux, sont maintenant clairement interdits. ne vont plus « de soi ». D’un point de vue du droit et des libertés des personnes, c’est une bonne nouvelle alors que les questions réduction des distances économiques sont au cœur des réflexions, alors que les acteurs qui ont tiré les plus belles épingles financières de la situation sanitaire sont aux USA et que plus que jamais nos données personnelles sont l’or noir du XXIè siècle.

Sources documentaires