Back to Blog

Privacy Shield : Transférer des données aux Etats-Unis dans un contexte post-Schrems II

Maxime JAILLET

Les 5 commandements de l’EDPB pour transférer des données vers les Etats-Unis

En invalidant le Privacy Shield, l’arrêt de la CJUE avait laissé une impression de vide. Pour sécuriser les transferts de données vers les Etats-Unis, il faut signer des clauses contractuelles types et… appliquer des mesures complémentaires. On attendait des CNIL européennes une prise de position en la matière. Ces recommandations ont été publiées le 10 novembre dernier et cela tient en 5 points.

Cartographiez vos transferts de données aux US

Cette fois, c’est l’occasion de cartographier vos traitements de données personnelles. Et peut-être de réaliser… qu’il y en a beaucoup. Ils peuvent en effet découler :

  • de l’utilisation de modules, d’extensions et de plugins fournis par des acteurs américains afin d’enrichir les fonctionnalités de votre site (solution de mesure d’audience, modules de tchats, balises captchas...) ;
  • de l’utilisation de solutions informatiques fournis par des acteurs européens mais embarquant des modules fournis par des acteurs américains (un outil analytics par exemple) ;
  • de l’hébergement des données sur des serveurs localisés aux Etats-Unis ;
  • d’accès à distance aux bases par les maisons-mères de sociétés vous fournissant des solutions indispensables pour votre entreprise (CRM, SIRH…) ou par votre prestataire pour réaliser la mission que vous lui confiez (centre d’appels, par exemple).

C’est un travail important, à faire avec votre DPO (Data Protection Officer) ou au moins votre référent en la matière.

Profitez-en pour mettre un terme aux prestations de services dont vous n’avez plus besoin. Rappelez-vous que traiter des données n’est pas une fin en soi. Vous poursuivez des finalités bien identifiées, manipuler de la data est un moyen d’y parvenir.

Vérifiez la base légale de vos transferts de données aux US

Adhésion du prestataire au Privacy Shield ? Signature de clauses contractuelles types ? Consentement ? Autre ?

Traiter les données des personnes concernées (vos clients, vos salariés, d’autres personnes physiques…) n’est pas anodin. Votre Délégué à la Protection des données s’assurera par conséquent que vous disposez d’une base légale pour pouvoir le faire.

Quel instrument juridique avez-vous mis en œuvre pour sécuriser vos transferts de données ?

Vous serez sans doute amené à revoir votre relation contractuelle avec vos fournisseurs pour leur faire signer des clauses contractuelles types. Si vous signez non pas le modèle standard fourni par la Commission européenne mais un accord ad hoc, une autorisation de la CNIL sera nécessaire.

Menez une analyse d’impact de la réglementation applicable

Vous faites signer des clauses contractuelles types à tous vos fournisseurs et prestataires transférant des données ? Bravo.

Mais en pratique, peuvent-ils respecter les engagements contractuels qu’ils acceptent ?

Depuis l’arrêt de la CJUE, les entreprises responsables de traitement, donc clientes, doivent procéder à une analyse d’impact de la réglementation respectée par les sous-traitants. Il s’agit en particulier d’identifier l’existence éventuelle de lois nationales autorisant un accès aux données par les autorités publiques, dans un but de surveillance.

Pour procéder à cette analyse, vous pourrez compter sur l’aide de vos fournisseurs. Vous devrez quoiqu’il en soit documenter les démarches effectuées.

Identifiez des mesures complémentaires permettant de sécuriser le transfert des données

En examinant le cas américain, vous aurez l’occasion de constater que vos fournisseurs et prestataires ne sont pas en mesure de respecter leurs engagements contractuels. Vous devrez par conséquent leur imposer des mesures supplémentaires.

Ces mesures s’appuieront sur une analyse de risques permettant de déterminer des mesures appropriées. Il peut s’agit de mesures de nature technique ou organisationnelle. Par exemple :

  • le chiffrement ;
  • la pseudonymisation ;
  • le cloisonnement des données.

Sans oublier les basiques comme la gestion des durées de conservation de vos données.

Cette analyse est particulièrement importante dans le cas d’un environnement critique. Le Conseil d’État a ainsi par exemple demandé la recherche de mesures complémentaires permettant de sécuriser la plateforme de données de santé « Health Data Hub », hébergée par Microsoft à ce jour.

Si aucune mesure ne permet de parvenir à un niveau de protection des données équivalent aux exigences européennes, le traitement des données personnelles devrait théoriquement être suspendu.

Réévaluez régulièrement vos transferts de données aux Etats-Unis

Ce n’est pas du one shot.

Vous devrez ponctuellement revoir ce que vous avez mis en place. Il s’agira de  s’assurer que fournisseurs et prestataires sont en mesure sur la durée de respecter leurs engagements. Et si nécessaire, vous devrez mieux encadrer les pratiques de vos sous-traitants voire mettre un terme à la relation.

Transférez des données personnelles grâce aux nouvelles clauses contractuelles types

Deux projets de clauses contractuelles types sont soumis à une consultation publique jusqu’au 10 décembre prochain. L’outil phare que constituent ces clauses est donc revu pour mieux encadrer le transfert de données hors Union Européenne. Le deuxième draft encadre quant à lui les transferts intra européens.

De nouvelles CCT pour transférer des données aux Etats-Unis

Les clauses contractuelles types sont un document de plus dans votre relation avec vos fournisseurs.

Lorsque vous signez un contrat, ou que vous acceptez des conditions générales, ce document est souvent annexé. Derrière cette appellation compliquée se cachent en vérité trois modèles fournis par la Commission Européenne et à annexer sans changer la moindre virgule.

Ce document standard soumet le prestataire à des engagements portant spécifiquement :

  • sur le transfert de données hors de l’Union Européenne ;
  • sur leur utilisation par votre prestataire ;
  • voire par ses propres sous-traitants.

La Commission a donc élaboré un draft qui prend en compte les conclusions de l’arrêt post-Schrems II. Un dépoussiérage des templates contractuels qui ne vous empêchera néanmoins pas de devoir appliquer les mesures citées plus haut de chiffrement, pseudonymisation… ou autre.

Bref, signer un contrat ne suffira pas. Il faudra examiner comment votre prestataire exploite les données en pratique.

Des CCT pour les transferts de données intra Union-Européenne

Le deuxième projet de la Commission Européenne encadre la relation d’un responsable de traitement à un sous-traitant situé dans l’UE.

En tant qu’entreprise cliente, vous devez signer un contrat avec vos prestataires et fournisseurs. Ce contrat détaille leurs engagements pour protéger les données personnelles qu’ils exploitent pour vos besoins.

  • Un contrat ne détaillant pas ces engagements ou le faisant de façon incomplète expose votre responsabilité. Votre entreprise assume en effet les agissements et manquements de vos sous-traitants. Cela implique de s’assurer de leur conformité RGPD.
  • Sur le fond, les sous-traitants ont davantage d’obligations légales à respecter qu’avant. Le contenu du contrat devra en tenir compte.

Le modèle élaboré par la Commission européenne est d’une utilisation facultative. Mais il vous sera d’une aide appréciable pour optimiser le cadrage de votre relation contractuelle.

Si son utilisation se généralise, cette démarche aboutira aussi à harmoniser au niveau européen l’encadrement des activités des sous-traitants.

Conclusion : Transférer des données personnelles aux Etats-Unis est possible mais plus encadré

Le Privacy Shield est mort, Axeptio a déjà eu l’occasion de vous en parler.

Suite à l’arrêt Schrems II, vous pourrez continuer de travailler avec des fournisseurs américains.

Mais vous devrez le faire d’une manière plus contrainte qu’avant.

  • Certains transferts vont sans doute être stoppés. Parce qu’ils correspondent à des prestations de services inutiles ou à des infastructures critiques pour votre activité.
  • Le contrôleur européen EDPB vous imposera de mener une analyse de risques et d’appliquer certaines mesures techniques et organisationnelles. Pour le plus grand bénéfice de la sécurité des données.
  • Les clauses contractuelles types resteront un outil phare de sécurité juridique. Et ça tombe bien puisque la Commission Européenne est en train de les dépoussiérer.

Respecter le RGPD mais aussi la loi française dite « Informatique et Libertés » du 06 janvier 1978 est une nécessité. Pour autant, ne vivez pas dans la peur d’un contrôle de la Commission Nationale de l’Informatique et des Libertés.

N’attendez plus. C’est l’heure d’optimiser votre conformité RGPD.

Share on social media: 

Ne partez pas si vite ... 

Contrôle de la CNIL, sauvez vos cookies grâce au module d’Axeptio

Le module de cookies d’Axeptio peut-il vous éviter contrôle et sanction de la CNIL ? Votre entreprise fait l’objet d’un contrôle et le régulateur constate de lourdes non-conformités ? Vous pourrez compter sur nous pour sauver vos cookies. En un temps record, vous intégrerez les standards réglementaires tout en ayant une approche marketing d’avant-garde. On vous dit tout.

Lire la suite

Comment installer le pixel Facebook avec Google Tag Manager ?

Savez-vous configurer votre Pixel Facebook grâce à Google Tag Manager ? Grâce à ce pixel, pilotez efficacement vos campagnes, segmentez votre audience de manière pertinente. L’utiliser avec GTM n’est pas compliqué. Quelques étapes à respecter (créer un pixel de base ; créer des pixels personnalisés via des déclencheurs et des évènements) et le tour est joué. On vous dit tout.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.