Privacy Shield : Transférer des données aux Etats-Unis dans un contexte post-Schrems II
Maxime JAILLETLes 5 commandements de l’EDPB pour transférer des données vers les Etats-Unis
En invalidant le Privacy Shield, l’arrêt de la CJUE avait laissé une impression de vide. Pour sécuriser les transferts de données vers les Etats-Unis, il faut signer des clauses contractuelles types et… appliquer des mesures complémentaires. On attendait des CNIL européennes une prise de position en la matière. Ces recommandations ont été publiées le 10 novembre dernier et cela tient en 5 points.
Cartographiez vos transferts de données aux US
Cette fois, c’est l’occasion de cartographier vos traitements de données personnelles. Et peut-être de réaliser… qu’il y en a beaucoup. Ils peuvent en effet découler :
- de l’utilisation de modules, d’extensions et de plugins fournis par des acteurs américains afin d’enrichir les fonctionnalités de votre site (solution de mesure d’audience, modules de tchats, balises captchas...) ;
- de l’utilisation de solutions informatiques fournis par des acteurs européens mais embarquant des modules fournis par des acteurs américains (un outil analytics par exemple) ;
- de l’hébergement des données sur des serveurs localisés aux Etats-Unis ;
- d’accès à distance aux bases par les maisons-mères de sociétés vous fournissant des solutions indispensables pour votre entreprise (CRM, SIRH…) ou par votre prestataire pour réaliser la mission que vous lui confiez (centre d’appels, par exemple).
C’est un travail important, à faire avec votre DPO (Data Protection Officer) ou au moins votre référent en la matière.
Profitez-en pour mettre un terme aux prestations de services dont vous n’avez plus besoin. Rappelez-vous que traiter des données n’est pas une fin en soi. Vous poursuivez des finalités bien identifiées, manipuler de la data est un moyen d’y parvenir.
Vérifiez la base légale de vos transferts de données aux US
Adhésion du prestataire au Privacy Shield ? Signature de clauses contractuelles types ? Consentement ? Autre ?
Traiter les données des personnes concernées (vos clients, vos salariés, d’autres personnes physiques…) n’est pas anodin. Votre Délégué à la Protection des données s’assurera par conséquent que vous disposez d’une base légale pour pouvoir le faire.
Quel instrument juridique avez-vous mis en œuvre pour sécuriser vos transferts de données ?
Vous serez sans doute amené à revoir votre relation contractuelle avec vos fournisseurs pour leur faire signer des clauses contractuelles types. Si vous signez non pas le modèle standard fourni par la Commission européenne mais un accord ad hoc, une autorisation de la CNIL sera nécessaire.
Menez une analyse d’impact de la réglementation applicable
Vous faites signer des clauses contractuelles types à tous vos fournisseurs et prestataires transférant des données ? Bravo.
Mais en pratique, peuvent-ils respecter les engagements contractuels qu’ils acceptent ?
Depuis l’arrêt de la CJUE, les entreprises responsables de traitement, donc clientes, doivent procéder à une analyse d’impact de la réglementation respectée par les sous-traitants. Il s’agit en particulier d’identifier l’existence éventuelle de lois nationales autorisant un accès aux données par les autorités publiques, dans un but de surveillance.
Pour procéder à cette analyse, vous pourrez compter sur l’aide de vos fournisseurs. Vous devrez quoiqu’il en soit documenter les démarches effectuées.
Identifiez des mesures complémentaires permettant de sécuriser le transfert des données
En examinant le cas américain, vous aurez l’occasion de constater que vos fournisseurs et prestataires ne sont pas en mesure de respecter leurs engagements contractuels. Vous devrez par conséquent leur imposer des mesures supplémentaires.
Ces mesures s’appuieront sur une analyse de risques permettant de déterminer des mesures appropriées. Il peut s’agit de mesures de nature technique ou organisationnelle. Par exemple :
- le chiffrement ;
- la pseudonymisation ;
- le cloisonnement des données.
Sans oublier les basiques comme la gestion des durées de conservation de vos données.
Cette analyse est particulièrement importante dans le cas d’un environnement critique. Le Conseil d’État a ainsi par exemple demandé la recherche de mesures complémentaires permettant de sécuriser la plateforme de données de santé « Health Data Hub », hébergée par Microsoft à ce jour.
Si aucune mesure ne permet de parvenir à un niveau de protection des données équivalent aux exigences européennes, le traitement des données personnelles devrait théoriquement être suspendu.
Réévaluez régulièrement vos transferts de données aux Etats-Unis
Ce n’est pas du one shot.
Vous devrez ponctuellement revoir ce que vous avez mis en place. Il s’agira de s’assurer que fournisseurs et prestataires sont en mesure sur la durée de respecter leurs engagements. Et si nécessaire, vous devrez mieux encadrer les pratiques de vos sous-traitants voire mettre un terme à la relation.
Transférez des données personnelles grâce aux nouvelles clauses contractuelles types
Deux projets de clauses contractuelles types sont soumis à une consultation publique jusqu’au 10 décembre prochain. L’outil phare que constituent ces clauses est donc revu pour mieux encadrer le transfert de données hors Union Européenne. Le deuxième draft encadre quant à lui les transferts intra européens.
De nouvelles CCT pour transférer des données aux Etats-Unis
Les clauses contractuelles types sont un document de plus dans votre relation avec vos fournisseurs.
Lorsque vous signez un contrat, ou que vous acceptez des conditions générales, ce document est souvent annexé. Derrière cette appellation compliquée se cachent en vérité trois modèles fournis par la Commission Européenne et à annexer sans changer la moindre virgule.
Ce document standard soumet le prestataire à des engagements portant spécifiquement :
- sur le transfert de données hors de l’Union Européenne ;
- sur leur utilisation par votre prestataire ;
- voire par ses propres sous-traitants.
La Commission a donc élaboré un draft qui prend en compte les conclusions de l’arrêt post-Schrems II. Un dépoussiérage des templates contractuels qui ne vous empêchera néanmoins pas de devoir appliquer les mesures citées plus haut de chiffrement, pseudonymisation… ou autre.
Bref, signer un contrat ne suffira pas. Il faudra examiner comment votre prestataire exploite les données en pratique.
Des CCT pour les transferts de données intra Union-Européenne
Le deuxième projet de la Commission Européenne encadre la relation d’un responsable de traitement à un sous-traitant situé dans l’UE.
En tant qu’entreprise cliente, vous devez signer un contrat avec vos prestataires et fournisseurs. Ce contrat détaille leurs engagements pour protéger les données personnelles qu’ils exploitent pour vos besoins.
- Un contrat ne détaillant pas ces engagements ou le faisant de façon incomplète expose votre responsabilité. Votre entreprise assume en effet les agissements et manquements de vos sous-traitants. Cela implique de s’assurer de leur conformité RGPD.
- Sur le fond, les sous-traitants ont davantage d’obligations légales à respecter qu’avant. Le contenu du contrat devra en tenir compte.
Le modèle élaboré par la Commission européenne est d’une utilisation facultative. Mais il vous sera d’une aide appréciable pour optimiser le cadrage de votre relation contractuelle.
Si son utilisation se généralise, cette démarche aboutira aussi à harmoniser au niveau européen l’encadrement des activités des sous-traitants.
Conclusion : Transférer des données personnelles aux Etats-Unis est possible mais plus encadré
Le Privacy Shield est mort, Axeptio a déjà eu l’occasion de vous en parler.
Suite à l’arrêt Schrems II, vous pourrez continuer de travailler avec des fournisseurs américains.
Mais vous devrez le faire d’une manière plus contrainte qu’avant.
- Certains transferts vont sans doute être stoppés. Parce qu’ils correspondent à des prestations de services inutiles ou à des infastructures critiques pour votre activité.
- Le contrôleur européen EDPB vous imposera de mener une analyse de risques et d’appliquer certaines mesures techniques et organisationnelles. Pour le plus grand bénéfice de la sécurité des données.
- Les clauses contractuelles types resteront un outil phare de sécurité juridique. Et ça tombe bien puisque la Commission Européenne est en train de les dépoussiérer.
Respecter le RGPD mais aussi la loi française dite « Informatique et Libertés » du 06 janvier 1978 est une nécessité. Pour autant, ne vivez pas dans la peur d’un contrôle de la Commission Nationale de l’Informatique et des Libertés.
N’attendez plus. C’est l’heure d’optimiser votre conformité RGPD.
Ne partez pas si vite
Séisme dans le monde des CMP : le protocole TCF de l’IAB est déclaré illégal !
La décision du 02 février 2022 rendue par l'APD belge est un vrai cataclysme pour l'IAB et le protocole TCF ! Christophe Landat, avocat et DPO d'Axeptio, en présente le contenu.
Mise à jour septembre 2022 : Condamnée par l'Autorité de Protection des Données (CNIL Belge) pour violation du RGPD, notamment à une amende de 250 000€, la division européenne de l’Interactive Advertising Bureau a fait appel de cette décision.
5 conseils pour réussir la mise en conformité RGPD de votre mairie
Maxime JAILLETVotre mairie doit intégrer les exigences du RGPD et de la directive ePrivacy et ce, compte tenu de risques croissants liés à votre activité. Ca vous effraie ? Pas de panique car la tendance est à la mutualisation des ressources : le Data Protection Officer comme les outils IT. Et pour gérer la conformité de votre site web, il suffit de faire comme dans la vraie vie.
Cybersécurité, données de santé et cookies, priorités de la CNIL en 2021
Maxime JAILLETLa CNIL a dévoilé son programme de contrôles pour 2021. Quels seront les thèmes prioritaires ? La sécurité IT des sites web ; le traitement des données de santé (ce qui concernera les acteursdu secteur de la santé mais pas seulement) et les cookies. On vous dit tout.