Le 4 juin dernier, la Commission européenne a publié une nouvelle version de ses modèles de clauses contractuelles types (CCT). Reprises par le Règlement (UE) 2016/679 sur la protection des données (RGPD), ces clauses types de la Commission européenne permettent à une entité (entreprise, association…) de transférer des données personnelles hors de l’Espace économique européen (EEE).
En effet, le RGPD prévoit un principe d’interdiction des transferts de données personnelles hors de l’UE et de l’EEE assorti de nombreuses dérogations pour des raisons évidentes de pragmatisme économique. Trois mécanismes principaux permettent ainsi ce type de transferts :
Cette mise à jour des CCT intervient suite à un retentissant arrêt du 16 juillet 2020 (arrêt Schrems II) par lequel la Cour de justice de l’Union européenne (CJUE) a invalidé le « Privacy shield », sorte de décision d’adéquation renforcée autorisant, sous certaines conditions, le transfert de données vers les États-Unis. Cet arrêt s’inscrivait dans la continuité de l’arrêt Schrems I (du nom de l’ex étudiant et désormais avocat autrichien à l’origine de ces deux affaires) qui avait conduit à l’invalidation du « Safe Harbor » (l’ancêtre du « PrivacyShield) en 2015 à la suite des révélations d’espionnage massif des services de renseignement américains par Edward Snowden en 2013.
Bien que n’étant pas directement concerné par l’arrêt, le mécanisme des CCT a toutefois été fortement impacté, obligeant la Commission européenne à les mettre à jour. En effet, contrairement au premier arrêt de 2015 dénonçant les lacunes de la règlementation américaine en matière de protection des données personnelles, l’arrêt Schrems II a cette fois mis en exergue les pratiques intrusives et la surveillance de masse des agences de renseignement américaines et en particulier :
Au-delà de l’invalidation sans délai du « PrivacyShield », c’est la légalité même des transferts de données vers les États-Unis qui semble remise en cause par cet arrêt. En effet, alors qu’il est envisageable de compenser les lacunes d’une réglementation par la mise en œuvre de dispositions contractuelles complémentaires (CCT, BCR…) en vertu desquels les entreprises s’engagent à se conformer à des standards européens, il semble vain d’imaginer lutter par ce biais juridique et contractuel contre les pratiques des agences de renseignement américaines.
C’est dans ce contexte incertain que plusieurs « CNIL » de pays européens (Irlande et dans certains länder allemands notamment), avaient annoncé la suspension des transferts de données personnelles vers les États-Unis en attendant une éventuelle décision de la Commission européenne. Le Comité européen à la protection des données (CEPD) incitait quant à lui les institutions européennes à éviter les activités de traitement impliquant des transferts de données personnelles outre-Atlantique.
Toutefois, comme attendu par la plupart des spécialistes du secteur, aucune décision allant en ce sens n’a été prise par la Commission européenne pour des raisons de pragmatisme économique dues à la grande dépendance de l’économique européenne à l’égard des États-Unis (GAFAM…). En outre, les enseignements de l’arrêt Schrems II s’appliquent également aux transferts réalisés vers les autres pays non membres de l’EEE (Chine, Japon, Russie…).
En novembre 2020, l’autorité européenne (l’EDPB) a en revanche publié deux recommandations ayant pour objectif d’accompagner les entités européennes souhaitant transférer des données vers un pays tiers (hors EEE) :
Cette stratégie peut surprendre dans la mesure où il paraitrait étrange que certaines entreprises considèrent la règlementation en matière de renseignement d’un pays tiers adéquate quand d’autres la considèreraient trop intrusive. De même, à l’heure ou le chiffrement homomorphe (qui permet de confier des données chiffrées à un prestataire, de cloud par exemple, sans avoir à lui confier la clé) n’est encore que peu déployé, et à supposer que ces chiffrements n’aient pas encore été cassés, quelles mesures supplémentaires seraient susceptibles de contrecarrer les actions d’une agence de renseignement interceptant des données via à un satellite, un câble sous-marin ou la coopération bienveillante ou contrainte de ses entreprises du numérique ?
Cette stratégie surprenante a en tout cas été reprise dans la nouvelle version des CCT (lesdits changements ont été analysés par la CNIL) qui imposent désormais à l’exportateur de données de tenir compte de la législation du pays tiers pour déterminer si les CCT pourront produire tous leurs effets.
Force est de constater qu’avec cette nouvelle usine à gaz, l’Europe ne semble une nouvelle fois pas prête à prendre son indépendance numérique…
Alexandre Mandil
Avocat membre de Lex-Squared
En effet, le RGPD prévoit un principe d’interdiction des transferts de données personnelles hors de l’UE et de l’EEE assorti de nombreuses dérogations pour des raisons évidentes de pragmatisme économique. Trois mécanismes principaux permettent ainsi ce type de transferts :
- Premièrement, le RGPD prévoit la possibilité de transférer des données personnelles vers des pays dont la règlementation assure un niveau de protection adéquat (Israël, la Nouvelle-Zélande l’Argentine, la Suisse et demain probablement le Royaume-Uni …).
- Deuxièmement, les groupes peuvent également déployer en leur sein des règles d’entreprise contraignantes (BCR), sorte de code de conduite en vertu duquel ils s’engagent à traiter les données personnelles conformément à des standards européens, et ce, quel que soit le pays de l’entité du groupe concernée.
- Troisièmement, le RGPD prévoit la possibilité pour une entité européenne de transférer des données personnelles hors de l’EEE en intégrant dans leur contrat les CCT évoquées.
Cette mise à jour des CCT intervient suite à un retentissant arrêt du 16 juillet 2020 (arrêt Schrems II) par lequel la Cour de justice de l’Union européenne (CJUE) a invalidé le « Privacy shield », sorte de décision d’adéquation renforcée autorisant, sous certaines conditions, le transfert de données vers les États-Unis. Cet arrêt s’inscrivait dans la continuité de l’arrêt Schrems I (du nom de l’ex étudiant et désormais avocat autrichien à l’origine de ces deux affaires) qui avait conduit à l’invalidation du « Safe Harbor » (l’ancêtre du « PrivacyShield) en 2015 à la suite des révélations d’espionnage massif des services de renseignement américains par Edward Snowden en 2013.
Bien que n’étant pas directement concerné par l’arrêt, le mécanisme des CCT a toutefois été fortement impacté, obligeant la Commission européenne à les mettre à jour. En effet, contrairement au premier arrêt de 2015 dénonçant les lacunes de la règlementation américaine en matière de protection des données personnelles, l’arrêt Schrems II a cette fois mis en exergue les pratiques intrusives et la surveillance de masse des agences de renseignement américaines et en particulier :
- L’article 702 du FISA permet la surveillance de ressortissants non américains se trouvant en dehors du territoire des États-Unis et sert notamment de fondement aux programmes de surveillance PRISM, qui oblige les fournisseurs de services Internet à fournir à la NSA, à la CIA et au FBI des communications, et UPSTREAM, qui contraint les entreprises de télécommunications exploitant le réseau de câbles, commutateurs et routeurs à permettre à la NSA d’intercepter les communications.
- L’Executive Order 12333 permet à la NSA d’accéder à des données « en transit » vers les États-Unis, en accédant aux câbles sous-marins posés sur le plancher de l’Atlantique, ainsi que de recueillir et de conserver ces données avant qu’elles arrivent aux États-Unis et y soient soumises aux dispositions du FISA.
Au-delà de l’invalidation sans délai du « PrivacyShield », c’est la légalité même des transferts de données vers les États-Unis qui semble remise en cause par cet arrêt. En effet, alors qu’il est envisageable de compenser les lacunes d’une réglementation par la mise en œuvre de dispositions contractuelles complémentaires (CCT, BCR…) en vertu desquels les entreprises s’engagent à se conformer à des standards européens, il semble vain d’imaginer lutter par ce biais juridique et contractuel contre les pratiques des agences de renseignement américaines.
C’est dans ce contexte incertain que plusieurs « CNIL » de pays européens (Irlande et dans certains länder allemands notamment), avaient annoncé la suspension des transferts de données personnelles vers les États-Unis en attendant une éventuelle décision de la Commission européenne. Le Comité européen à la protection des données (CEPD) incitait quant à lui les institutions européennes à éviter les activités de traitement impliquant des transferts de données personnelles outre-Atlantique.
Toutefois, comme attendu par la plupart des spécialistes du secteur, aucune décision allant en ce sens n’a été prise par la Commission européenne pour des raisons de pragmatisme économique dues à la grande dépendance de l’économique européenne à l’égard des États-Unis (GAFAM…). En outre, les enseignements de l’arrêt Schrems II s’appliquent également aux transferts réalisés vers les autres pays non membres de l’EEE (Chine, Japon, Russie…).
En novembre 2020, l’autorité européenne (l’EDPB) a en revanche publié deux recommandations ayant pour objectif d’accompagner les entités européennes souhaitant transférer des données vers un pays tiers (hors EEE) :
- La première vise à aider ces entités à identifier les transferts hors de l’EEE, à analyser le risque d’interception des données personnelles transférées et, le cas échéant, à mettre en place des mesures supplémentaires ou à renoncer au traitement.
- La seconde détermine les garanties essentielles devant être assurées par la législation d’un pays tiers pour déterminer si des mesures de surveillance autorisant l’accès d’autorités publiques à des données personnelles peuvent être considérées comme conformes aux standards européens.
Cette stratégie peut surprendre dans la mesure où il paraitrait étrange que certaines entreprises considèrent la règlementation en matière de renseignement d’un pays tiers adéquate quand d’autres la considèreraient trop intrusive. De même, à l’heure ou le chiffrement homomorphe (qui permet de confier des données chiffrées à un prestataire, de cloud par exemple, sans avoir à lui confier la clé) n’est encore que peu déployé, et à supposer que ces chiffrements n’aient pas encore été cassés, quelles mesures supplémentaires seraient susceptibles de contrecarrer les actions d’une agence de renseignement interceptant des données via à un satellite, un câble sous-marin ou la coopération bienveillante ou contrainte de ses entreprises du numérique ?
Cette stratégie surprenante a en tout cas été reprise dans la nouvelle version des CCT (lesdits changements ont été analysés par la CNIL) qui imposent désormais à l’exportateur de données de tenir compte de la législation du pays tiers pour déterminer si les CCT pourront produire tous leurs effets.
Force est de constater qu’avec cette nouvelle usine à gaz, l’Europe ne semble une nouvelle fois pas prête à prendre son indépendance numérique…
Alexandre Mandil
Avocat membre de Lex-Squared
Inscription Newsletter
