RGPD et Transfert des données hors UE : qu’en est-il après la fin du Privacy Shield ?

Vous pensiez être en règle, que ce soit pour les données de vos collaborateurs, celles de vos clients, ou de vos visiteurs ? Et bien sachez que depuis le 16 juillet, vous êtes tout simplement hors-la-loi ! Ni plus, ni moins.

Et vous risquez des sanctions ! de très lourdes sanctions.

Le contexte du RGPD et du Privacy Shield

Le transfert de données personnelles hors de l’Union Européenne, vous le savez déjà, est encadré de manière stricte par le Règlement Européen pour le Protection des Données, le RGPD. Cet encadrement permet de garantir à vos données, lors de tout traitement hors UE, d’être protégées au même titre que sur le sol Européen, par des niveaux de protection « au moins équivalent ».

Les pays tiers, ce sont par exemple les États-Unis, Madagascar, ou les pays du Maghreb, Maroc en tête, pour ne citer qu’eux, parce qu’ils traitent d’un grand nombre de nos données personnelles.
Le sujet du transfert de données touche tous les pays hors UE, bien sûr, quand celui du Privacy Shield concerne uniquement les États-Unis.

Cet article n’a pas pour objectif de fustiger les « GAFAM » (Google, Apple, Facebook, Amazon, Microsoft) et autres géants de la Silicon Valley. Il a pour but de préciser le droit, comment l’appliquer, tout en maintenant une activité business aussi responsable que possible.

Pourquoi parle-ton aujourd’hui autant du Privacy Shield ?

Le Privacy Shield, ou « Bouclier de Protection de la Vie Privée », c’est un mécanisme américain, brandi comme une alternative à la fin du « Safe Harbor » (mis à mal par le même avocat autrichien, Max Schrems, en 2016).

Cet outil, validé jusqu’ici par la Commission Européenne et par les Autorités de contrôle (CNIL), était supposé démontrer que nos données personnelles envoyées sur le territoire américain était tout aussi protégées qu’elles ne le sont en France et en Europe.

Or quel que soit le contrat que vous avez avec l’entreprise américaine, les autorités, l’administration publique, les services de sécurité, ont le pouvoir de fouiller dans les données de nos partenaires US. Et d’aller chercher des données « en vrac », sans préciser la teneur du contrôle, ni son objectif.

Ainsi, le Privacy Shield n’était tout simplement pas opposable aux autorités américaines.

Il était donc objectivement temps d’y mettre un terme.

Mais l’invalidation du mécanisme laisse les entreprises plus que jamais dans le flou, maintenant que le risque juridique est transféré sur toutes les entreprises utilisatrices de services numériques américains.

Le Privacy Shield ne protège plus nos données, et nous ne savons pas trop comment procéder !

Quels sont les traitements de données qui pourraient être concernés ?

• Vous utilisez de gros calculateurs, des serveurs, chez Amazon, Microsoft, Google ?
• Vous travaillez sur Trello ? Des notes sur Evernote ?
• Vous partagez de l’information via Slack ? Vous avez plusieurs comptes sur Discord ? Vous êtes adepte de Twitter, d’Instagram, de LinkedIn ?
• Vos visio-conférences se passent toutes sur Zoom depuis Mars 2020 ?
• Tout simplement, vous travaillez sur Microsoft Office 360 ?
• Google Analytics est votre interface préférée ?
• Où sont hébergés vos serveurs cloud ? où sont-ils peut-être aussi répliqués ?

La liste est interminable. Je ne vous montre ici que les parties émergées de l’iceberg ! Pas moins de 3 000 groupes américains utilisaient ce dispositif pour transférer des données vers les Etats-Unis, et ne peuvent donc plus s’en servir.

Dans tous les contrats que vous avez nécessairement signés, validés, acceptés, vous avez une trace équivalente à ce fameux bouclier. Que ce soit dans les conditions générales d’utilisation, les clauses contractuelles diverses, les mentions légales, voire même la politique de protection des données, vous avez donné votre consentement, d’une manière ou d’une autre, à ce que vos données s’échappent vers les États-Unis.

Et vous pensiez bien faire ! Pourtant vous devriez, en principe et depuis ce 16 juillet, faire une analyse de risque. Vous le saviez ?

Image par Reimund Bertrams de Pixabay

Explications

Résilier vos contrats et basculer sur des partenaires Européens ?

Si vous écoutez les décisions prises par les Länder allemand, l’option la plus évidente serait de résilier tous vos contrats avec des sociétés américaines, et de trouver des alternatives européennes à tous les traitements effectués sur le sol américain. Berlin l’a littéralement imposé.

Nous en reparlerons, mais cette option n’est pas si farfelue qu’elle en a l’air. Couteuse et complexe, bien sûr, mais plutôt logique.

Crypter ou Pseudonymiser vos données avant tout transfert

Si vos données sont rendues impersonnelles ou inutilisables avant le transfert, c’est une bonne solution technique. Probablement complexe à mettre en œuvre pour la majorité des PME, mais efficace.

Les Clauses Contractuelles Types (C.C.T.)

Validées par la Commission Européenne, ce texte peut être le seul moyen de contractualiser avec une société américaine aujourd’hui. Mais attention : vous ne pouvez rien enlever du texte, vous ne pouvez pas l’alléger à défaut de le rendre caduque. Vous ne pouvez que l’agrémenter de clauses complémentaires, liées à votre situation particulière, par exemple.

Les C.C.T. doivent être respectées mot à mot, intégralement.

Ce sont de véritables contrats, avec des obligations pour l’exportateur de données (nous, à l’article 4g) et l’importateur de données (le partenaire US, à l’article 5b). L’une d’elle est d’aller contrôler ce qui est fait de vos données. À vous de jouer ?

Avec ces C.C.T. validées par l’UE, vous pourriez penser être serein. Pourtant, le texte « FISA » (la suite du Patriot Act) permet aux autorités américaines d’aller fouiller dans les serveurs européens, semble-t-il sans même obtenir au préalable l’autorisation d’un juge, et probablement sans même en avertir le prestataire avant le contrôle. Je vous laisse voir tout cela avec un avocat spécialisé, mais déjà vous faire peur ici, mais globalement, ce texte:

• Concerne les entreprises traitant de « communication électronique » (et de Cloud Computing)
• Permet un contrôle aléatoire hors du sol américain, de tout type de données
• N’impose pas, à contrario du Privacy Shield, un médiateur pour informer les personnes concernées

L’article 5b des C.C.T., celui concernant l’importateur de données (US), précise qu’il n’a « aucune raison de penser que les obligations de l’exportateur de données ne peuvent pas être respectées », et dans un tel cas, l’exportateur est tenu d’en informer la CNIL.

Donc, si vous appliquez des C.C.T., et que vous pensez à juste titre que vos obligations ne peuvent pas être respectées, alors je vous recommande d’informer la CNIL. Et d’attendre une décision de leur part avant toute action complémentaire.

CQFD.

Les BCR : Binding Corporate Rules, ou Règles d’Entreprises Contraignantes.

Ces Clauses Contractuelles sont dédiées aux filiales et succursales d’un même groupe de sociétés. Je ne vais pas les détailler ici, puisqu’elles étaient censées exister avant la fin du Privacy Shield, et ne sont pas (trop) impactées.

Elles demeurent cependant une possibilité pour ceux qui ne les auraient pas mise en place, considérant que le Bouclier suffisait.

La Mise en place d’un Groupe Projet

Pourquoi est-ce aussi une option ? Parce que le RGPD est clair ! Vous devez mettre le RGPD en pratique et vous y conformer selon vos possibilités, avec vos moyens, et dans les limites du raisonnable.

La situation n’étant pas très claire, vous pourriez donc commencer par en parler avec votre DPO, ou votre référent pour les Données Personnelles, et monter avec lui un Groupe Projet visant à :

• Placer le RGPD au cœur de vos préoccupations
• Essayer de trouver des solutions
• Réaliser des études techniques et financières d’éventuels nouveaux prestataires sur le sol Européen (comme Matomo par exemple)

C’est un assez bon moyen de démontrer votre bonne volonté malgré les difficultés.

Envoyer un courrier à chaque fournisseur de service

Vous pouvez aussi adresser à Google un courrier :

• Sur votre site www.site-internet.fr vous dites que … (vous respectez les transferts de données personnelles dans le cadre strict des Clauses Contractuelles Types validées par la Commission Européenne)
• Vous êtes tout à fait informé du Texte FISA qui dit que… (les autorités américaines peuvent accéder à tout ou partie de mes données personnelles ou celles de mes clients, sans m’en informer)
• Pouvez-vous me certifier que le service que vous me fournissez (décrivez ce service) respecte le RGPD

Vous n’aurez que peu de chances d’obtenir un résultat probant, mais vous aurez encore une fois démontré votre volonté de bien faire.

Armez-vous de patience et d’un bon stylo, vous allez devoir écrire un bon nombre de courrier.

Et si je ne fais rien ?

Hélas, vous êtes désormais hors-la-loi, depuis le 16 juillet 2020, puisque la décision de justice était applicable immédiatement.

Les sanctions sont claires : vous êtes passibles des sanctions « maximales » prévues au RGPD, à savoir le fameux bloc des « 20 millions » d’euros ou 4% du CA mondial.

J’avais parlé de « bombinette » ?

Pourquoi l’option « alternatives européennes » imposée par Berlin n’est pas si mauvaise ?

Il semble que de nombreux acteurs proposent des services équivalents à la plupart de nos outils du quotidiens.

La volonté du Land de Berlin est simple et claire : permettre l’émergence d’acteurs concurrents, sur nos territoires, offrant des résultats et des performances similaires.

En effet, si nous étions nombreux à les adopter en lieu et place de nos géants américains, n’y aurait-il pas alors une voie toute tracée pour l’excellence Européenne en matière de datas ?

J’ai commencé avec Qwant en 2014, je vais regarder pour les autres outils au plus vite. Et vous ? on en parle ?

Image Background vector created by iuriimotov – www.freepik.com retravaillée par integraal-md