Le 17 juillet 2020, un séisme majeur a eu lieu dans le monde des technologies : le mécanisme de transfert UE-USA « Privacy Shield¹ » a été déclaré illégal par la Cour de Justice de l’Union Européenne², sur la base que le cadre juridique US était incompatible avec les exigences de protection des données à caractère personnel de l’UE.

Ainsi aucun mécanisme de transfert n’est aujourd’hui valable, en dehors des rares dérogations prévues à l’article 49 du RGPD, comme le consentement explicite des personnes concernées pour ce transfert aux USA (« après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées »).

Qui est touché ?

Là où cela se complique, c’est que nombre d’organisations appuient une partie de leurs activités sur des services (et donc des sous-traitants au sens RGPD) situés au moins en partie aux USA. On ne cite plus les services de Google, Microsoft, Facebook, Zoom, Apple, Amazon massivement déployés, partout, parfois même sans s’en rendre compte.

Pour autant, tous ces services, s’ils hébergent leurs données aux USA ou même s’ils sont administrés depuis le sol étasunien, sont illégaux en Droit Européen depuis le 17 juillet dernier. Ainsi, nombre d’organisations sont de fait dans l’illégalité et sont immédiatement exposées au risque de sanction par les autorités de contrôle en matière de protection des données personnelles.

A noter et nous insistons sur ce point : il s’agit d’une décision de justice applicable sans délai… et le CEPD et la CNIL³ l’ont bien rappelé.

Concrètement, que faire ?

Il s’agit donc de réunir tous vos contrats d’externalisation / sous-traitance impliquant des données à caractère personnel, et d’en revoir les clauses spécifiques aux traitements de données à caractère personnel, afin que les transferts vers les USA soient dorénavant explicitement exclus.

Si un contrat ne peut être exécuté sans transfert d’aucune sorte vers les USA et que vous souhaitez rester dans la légalité, alors ce contrat doit être rompu ou suspendu sans délai.

Et la notion de risque ?

Le risque juridique pour ne pas avoir stoppé un transfert vers les USA est de 20.000.000€ ou 4% du chiffre d’affaires mondial de l’année passée, le maximum opposable. La caractérisation de l’infraction est très simple, ce qui en accentue la probabilité.

Ce risque juridique est majoré par le fait que des dommages et intérêts pourraient être demandés par les personnes concernées. Il est aussi complété par un risque sur votre image, montrant que vous ne considérez pas la protection des données comme une priorité. En allant au bout de la démarche, vous vous exposez également à un risque économique lié au fait que des clients/usagers pourraient se détourner de vos services de ces faits.

Sur l’échelle du RGPD, le niveau de risque est donc maximal.

L’avis de votre délégué à la protection des données

Conformément au RGPD art.39.1.a et en tant que DPO externalisé, PiaLab vous conseille :

1. d’agir sans plus attendre en préparant des avenants à vos contrats de sous-traitance pour y ajouter des clause interdisant tout transfert aux USA (se souvenir : une simple administration des données depuis un écran situé aux USA est un transfert aux USA), et de mettre à jour votre registre des traitements le cas échéant ;
2. de consigner dans votre registre des traitements tout contrat résistant à une évolution rapide et facile dans le sens de l’action 1. et d’en informer PiaLab dans les meilleurs délais ;
3. de considérer très attentivement tout projet de nouveau traitement ou de modification de traitement existant en ce qui concerne les transferts de données hors UE, et de demander l’avis de PiaLab ;
4. de considérer à nouveau les utilisations que vous pourriez faire de services externalisés comme (liste non exhaustive et arbitraire basée sur notre seule expérience) :

• Microsoft : 365, Azure, Linkedin, Teams, Skype
• Google : Cloud, Drive, moteur de recherche, Hangout, etc.
• Amazon : Web Services (AWS)
• Zoom⁴ (visioconférences), Slack⁵ (messagerie instantannée)
• Apple : iPhone, MacOSX et services intégrés/associés
• Facebook : Instagram, Whatsapp, Facebook.com, Facetime, etc.
• Salesforce⁶ (gestion commerciale et autres services)
• Quickbooks⁷ (comptabilité)

Conclusion

Tout transfert vers les USA est, sauf rares exceptions, juridiquement irrecevable.

Si ces transferts sont pilotés par votre propre Organisation, en tant que responsable de traitement, ne perdez pas un instant pour envisager les options qui vous sont disponibles pour cesser ces transferts, en faisant évoluer vos cadres de gouvernance par la même occasion.

Dans le cadre de contrats sous-traités, il est de votre pleine et entière responsabilité de faire modifier vos contrats vous liant à vos sous-traitants. Mettez-vous y sans attendre, et faîtes évoluer votre politique d’externalisation par la même occasion si cela est nécessaire.

PiaLab
Le 14 août 2020

Vous en apprendrez davantage en lisant une précédente publication : https://www.pialab.io/2020/08/05/la-fin-des-transferts-ue-usa-un-tsunami-juridique-et-technologique-pour-la-protection-des-donnees/

1. https://www.privacyshield.gov/
2. Arrêt C-311/18 de la CJUE : https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en
3. https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-premieres-questions-reponses-du-cepd
4. « Zoom complies with the EU-US Privacy Shield Framework and the Swiss-US Privacy Shield Framework as set forth by the US Department of Commerce regarding the collection, use, and retention of personal data transferred from the European Union, the United Kingdom, and Switzerland to the United States in reliance on Privacy Shield. » « With respect to personal data received or transferred pursuant to the Privacy Shield Frameworks, Zoom is subject to the regulatory enforcement powers of the U.S. Federal Trade Commission. In certain situations, Zoom may be required to disclose personal data in response to valid and lawful requests by public authorities, including to meet national security or law enforcement requirements. » Source: https://zoom.us/privacy#_Toc44414846 vérifié le 12/08/2020
5. « To comply with European Union and Swiss data protection laws, Slack Technologies, Inc. (“Slack US”) self-certified under the E.U.-U.S. Privacy Shield » https://slack.com/intl/en-fr/privacy-policy#international vérifié le 14/08/2020
6. « Afin de faciliter nos pratiques commerciales, vos Données à caractère personnel peuvent être collectées, transférées et conservées par nous-même aux États-Unis ainsi que par nos filiales situées dans d’autres pays où nous exerçons nos activités, y compris des pays hors de l’Espace économique européen (EEE). Comme cela est indiqué dans la section « Transfert international de Données à caractère personnel » de la version complète de notre Notice d’information en matière de protection des Données à Caractère Personnel, nous avons mis en œuvre des garanties afin de nous assurer d’un niveau adéquat de protection des données lorsque vos Données à caractère personnel sont transférées hors de l’EEE, comme des Clauses contractuelles types pour le transfert de Données à caractère personnel approuvées par la Commission européenne (art. 46 du RGPD). » Source: https://www.salesforce.com/fr/company/privacy/ vérifié le 12/08/2020
7. « Nos principaux sites d’hébergement sont situés aux États-Unis. Cependant, en tant qu’entreprise internationale, nous autorisons nos équipes ainsi que nos partenaires de confiance basés dans différents pays à accéder aux données que nous hébergeons. Le RGPD n’interdit pas le stockage (ni le traitement) des données personnelles de nos utilisateurs européens aux États-Unis, tant que le mécanisme de transfert employé est approuvé par la Commission européenne. Le régime établi par le Bouclier de protection des données UE-États-Unis fait partie des mécanismes de transfert approuvés. Intuit QuickBooks est membre certifié du programme Bouclier de protection des données. » Source : https://quickbooks.intuit.com/fr/gdpr/ vérifié le 12/08/2020