Le 16 juillet 2020, la Cour de Justice de l'Union Européenne a jugé que le Privacy Shield qui encadrait les transferts entre l'Union européenne et les États-Unis est non conforme au Règlement Général pour la Protection des Données (RGPD), rendant ainsi illégaux les transferts de données personnelles aux États-Unis sans des précautions strictes.

Contexte 🗣

Le RGPD prévoit au chapitre V qu'un transfert de données personnelles hors de l'Espace Économique Européen ne peut être effectué que si des garanties appropriées sont mises en place et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

Pour faciliter les transferts avec les États-Unis, une décision d'adéquation (tel que définie à l'article 45 du RGPD) avait été prise après négociation du Privacy Shield. Elle avait pour but d'assurer ces garanties et de donner aux personnes concernées ces droits opposables et ces voies de droit effectives.

Cependant, à la suite d'une procédure juridique engagée par Maximilian Schrems en 2013 contre Facebook, la CJUE a statué que le Privacy Shield n'assurait pas ces garanties parce que la législation américaine octroie à ses services de renseignement le droit d'accéder aux données hors de toute procédure européenne.

"Transfert" ➡

Un "transfert" au sens de l'article 46 du RGPD est plus large que ce que l'on pourrait imaginer. Il s'agit de tout transfert de données personnelles auprès d'une entité :

🟢 qui n'opère pas au sein de l'EEE (Espace Économique Européen);
🟢 dont un sous-traitant n'opère pas au sein de l'EEE ;
🟢 dans laquelle des personnes situées hors de l'EEE ont la capacité d'accéder aux données (par exemple, pour effectuer du support).

Le troisième point est particulièrement contraignant : si un employé, situé aux États-Unis, de votre hébergeur a la capacité technique de se connecter à vos serveurs hébergés dans l'EEE, cela constitue un "transfert".

FISA 702, Cloud Act, etc. ⚖️

Plusieurs législations différentes encadrent les capacités polémiques de la justice et des services de renseignement américains. Celle qui a été utilisée par la CJUE dans cette décision est la section 702 du Foreign Intelligence Surveillance Act modifiée par l'amendement de 2008.

FISA 702 📄

L'article 50 USC § 1881a (introduit par la section 702 de FISA ajoutée par l'amendement de 2008) force les hébergeurs Cloud à fournir aux services de renseignement américains les données qu'ils contrôlent, stockent ou gèrent, ainsi que les clés de chiffrement permettant leur déchiffrement, concernant les personnes à surveiller (non américaines et non résidentes aux États-Unis).

Le FISA section 702 n'a pas de visée extra-territoriale, c'est-à-dire qu'il n'est applicable qu'auprès d'entreprises opérant sur le territoire américain.

En revanche, si ces entreprises ont la capacité d'accéder à distance à des serveurs hébergés dans l'EEE, alors les données qui y sont stockées peuvent être saisies au titre de FISA section 702. C'est pourquoi la définition de "transfert" couvre cette éventualité.

CLOUD Act ☁️

Le CLOUD Act passé en 2018, modifie le Stored Communications Act pour permettre son applicabilité extra-territoriale. Elle permet ainsi aux instances de justices américaines d'émettre un mandat de perquisition contraignant les fournisseurs de Cloud américains (y compris si ces données sont hébergées hors des États-Unis, par exemple, en France) à fournir toutes les données d'un individu, sans qu'aucune autorisation ne soit demandée à la justice du pays dans lequel se situent l'individu ou les données.

Aucune décision par des instances européennes portant sur les conséquences du CLOUD Act sur le RGPD n'a été émis pour le moment, mais il est arguable que la sous-traitance auprès d'entreprises soumises au Cloud Act constitue un transfert, même si l’hébergement est fait dans l’EEE. Il faudrait dès lors mettre en œuvre des mesures complémentaires pour assurer la conformité du "transfert".

SCC & mesures supplémentaires 💪

La Cour de Justice européenne a confirmé que l'utilisation de Clauses Types (Standard Contractual Clauses ou SCC en anglais) de gré à gré entre l'exportateur et l'importateur était valide.

Cependant, ces SCC ne suffisent pas seules à garantir la conformité du "transfert". Il faut ajouter des mesures supplémentaires pour faire en sorte que ce "transfert" apporte aux personnes concernées des garanties équivalentes à celles qu'il aurait sans effectuer ce transfert.

C'est pourquoi l'European Data Protection Board a émis des recommandations concernant ces mesures supplémentaires à appliquer, comme du chiffrement.

Si aucune combinaison de mesures supplémentaires ne peut permettre d'aboutir à des garanties équivalentes à une sous-traitance intra-EEE, il faut cesser le transfert.

Concrètement 🔥

On ne peut pas sous-traiter de façon naïve auprès d'entreprises américaines, il faut pour chaque sous-traitance :

  • utiliser des SCC comme outil juridique de transfert ;
  • adopter des mesures supplémentaires pour atteindre un niveau de garanties sur les données équivalent à une sous-traitance intra-EEE.

Si vous cherchez à implémenter des mesures supplémentaires comme du chiffrement dans votre entreprise, contactez-nous !