Recommandations du CEPD suite à l'arrêt « Schrems II »: la méthodologie du « test » des transferts précisée

 
Map of the internet.png
 
 

Un peu moins de quatre mois après la retentissante décision « Schrems II » de la Cour de justice, dont il a été question dans une précédente publication, c’est au tour du Comité européen de protection des données personnelles (CEPD) d’apporter des précisions sur les règles s’appliquant aux transferts de ces mêmes données en direction de pays tiers, non membres de l’Union européenne, dans un projet de recommandation du 10 novembre dernier, lequel fait actuellement l’objet d’une consultation publique devant cette même institution.

Si ce projet de recommandation intervient évidemment en réponse à l’annulation de la décision de la Commission relative au EU-US Privacy Shield, sa portée va bien au-delà. Ce document constitue en réalité un véritable guide de mise œuvre des outils d’équivalence de protection des données, prévus à l’article 46 du RGPD. Il consacre notamment l’application du principe d’« accountability » (ou responsabilisation des acteurs), aux transferts de données hors-UE, chose qui n’était pas initialement évidente, si l’on s’en fie à la pratique en la matière — c.f. le cas de Facebook, dont il sera question ci-après.

Surtout, en application de ce même principe d’« accountability », le CEPD expose en détail la méthodologie que devront appliquer les Responsables du traitement, afin de se conformer à leur obligation de documenter continument la conformité des transferts de données personnelles que ceux-ci opèrent vers des pays tiers, hors de l’Union européenne.

Précisions sur la mise en œuvre des garanties de l’article 46 du RGPD

Le nœud du problème: le recours abusif aux clauses contractuelles types et autres instruments de l’article 46 du RGPD

L’annulation de la décision de la Commission relative au « Privacy Shield », n’empêche pas Facebook de poursuivre le transfert des données personnelles des européens vers les Etats-Unis. Afin de justifier un tel procédé, la société soutient qu’elle est signataire des « clauses contractuelles types » proposées par la Commission, en application de l’article 46 du RGPD, et que, partant, les transfert qu’elle opère vers des pays tiers seraient sécurisés, voire qu’un tel transfert serait nécessaire à l’exécution du contrat la liant à son utilisateur (article 49.1. b° du RGPD).

Pourtant, une fois les données transférées aux Etats-Unis, Facebook continue d’autoriser aux autorités publiques américaine d’y accéder, pour des motifs de sécurité intérieure, en application de l’article 702 du FISA. Un tel procédé est, bien sûr rigoureusement contraire aux dispositions de l’article 48 du même règlement, qui institue un prééminence de ce texte européen sur les décisions des autorités administratives et des juridictions des pays tiers, lesquelles ne sont applicables qu’à raison de l’existence d’un traité liant l’Union européenne en ce sens.

Un tel procédé est généralisé parmi les GAFAM, ainsi que toutes les grandes entreprises du numérique, comme l’a exposé un rapport de « None Of Your Business », l’association autrichienne fondée par Max Schrems. D’ailleurs, à ce titre, il est intéressant de relever que le « Data protection addendum » (DPA) d’AWS reconnaît expressément le pouvoir qu’ont les autorités publiques d’Etats tiers — et donc pas seulement de l’Union européenne — d’accéder aux données personnelles.

Il n’est donc pas surprenant que le Commissaire irlandais à la protection des données ait enjoint à Facebook de suspendre ses transferts vers les Etats-Unis en septembre dernier — décision qui, on le rappelle, est toujours en attente d’exécution, Facebook y ayant d’ailleurs répondu en menaçant de fermer l’accès à ses services dans l’Union européenne

L’application du principe d’« accountability » aux transferts de données hors UE

La mise en exergue de l’application du principe de responsabilisation des acteurs ou « accountability » aux transferts de données personnelles vers des pays tiers constitue l’un des apports essentiels de la décision « Schrems II ». En effet, comme l’a rappelé, à cette occasion, la Cour de justice, contrairement aux décisions d’adéquation de la Commission, les garanties appropriées des articles 46 et suivants du RGPD ne permettent pas d’offrir in abstracto, une conformité automatique aux transfert de données. Encore faut-il que l’exportateur des données s’assure, au cas par cas, que l’importateur du satisfait lui-même les conditions d’exigence requises. Le cas échéant, l’exportateur devra, d’ailleurs, suspendre le transfert en cause lorsqu’il lui apparaît que le niveau d’équivalence n’est pas conforme. De même, les autorités de contrôle nationales peuvent toujours suspendre les transferts vers des Etats tiers, même en présence de clauses contractuelles types dûment signées entre exportateur et importateur — chose qui n’est pas possible dans le cas des décisions d’adéquation.

Cela n’a pas toujours été une évidence. Comme on l’a vu précédemment, la pratique avait pu laisser croire à une conformité quasi-automatique des transferts, en présence de l’un des mécanismes de l’article 46 — dont les clauses contractuelles types et les règlements d’entreprise contraignants.

C’est cette exigence d’« accountability », s’appliquant à l’entreprise exportatrice, que le CEPD rappelle dans le projet de recommandation, dont il est question ici. Elle déduit d’ailleurs une telle exigence de l’article 44 du RGPD. Dans la pratique cette exigence de responsabilisation se traduit par un véritable test, dont le CEPD donne une sorte de mode d’emploi.

Le test d’« accountability »: une nouvelle exigence introduite par le CEPD en cas de transferts vers des pays tiers

Un test en six étapes

Dans la logique de l'« accountability », il appartient donc aux Responsables du traitement des entreprises exportatrice des données de documenter les diligences accomplies afin de s’assurer que les transferts de données vers des pays tiers respectent les exigences d’équivalence, requises par le droit de l’Union. La satisfaction de cette obligation doit donc donner lieu à un nouveau type de document, qui n’a pas encore de nom, mais que l’on peut qualifier de test de conformité des transferts de données.

Le test que le CEPD propose dans sa recommandation comporte six étapes. L’exportateur doit, successivement, cartographier les transferts de données opérés vers des Etats tiers, y compris les transfert indirects (1), identifier les outils de transferts invoqués (2) c’est-à-dire les garanties appropriées de l’article 46, les décisions d’adéquation, ou bien éventuellement, les exceptions prévues par l’article 49—, vérifier si, au-delà de tels outils, les circonstances du transfert permettent de considérer celui-ci comme garantissant un niveau de protection équivalent, une fois les données arrivées dans le pays tiers (3), dans l’hypothèse où l’outil de transfert s’avèrerait insuffisant, l’exportateur doit déterminer les mesures de toute nature (contractuelles, organisationnelles, techniques) qui permettent de combler les lacunes (4), matérialiser de telles mesures compensatrices (5), et, enfin, renouveler un tel processus à intervalles réguliers afin d’assurer un respect constant des obligations en matière de transferts (6).

L’appréciation au cas par cas de la nécessité de mesures complémentaires aux outils de transfert

Ainsi, comme l’affirme le CEPD, l’exportateur ne pourra plus se contenter d’invoquer le respect formel d’un outil de transfert, tel que des clauses contractuelles types, ou les règlements d’entreprises, mais devra encore être en mesure de prouver qu’un tel outil permet effectivement de caractériser une équivalence de traitement, en se livrant à un examen circonstancié (types de données traitées, accès simple ou hébergement des données, format des données, législation de l’Etat tiers destinataire, etc). S’il observe que l’outil de transfert n’est pas suffisant pour caractériser un tel niveau d’équivalence, par exemple, parce que, dans l’hypothèse de clauses contractuelles types, la législation de l’Etat destinataire permet aux autorités publiques d’accéder aux données transférées — alors il devra impérativement instaurer des mesures complémentaires.

Les mesures en question peuvent être de toute nature: technique, organisationnelle, juridique. Dans sa recommandation présente d’ailleurs plusieurs exemples de telles mesures. Ainsi, afin d’éviter un ingérence étrangère, l’exportateur peut ainsi recourir à des mesures de chiffrement ou de pseudonymisation, avant de procéder au transfert. Dans d’autres circonstances, les mesures supplémentaires peuvent être de nature juridique, comme de simples clauses contractuelles — lesquelles ne doivent néanmoins pas altérer la rédaction des clauses contractuelles types — ou bien de nature organisationnelle, telles que précisées dans des documents du type Charte de sécurité informatique ou Politique de sécurité informatique.

Toutefois, là encore, l’exportateur ne peut se contenter d’un recours purement formel à de telles mesures compensatrices. Encore faut-il qu’il puisse démontrer que la ou les mesures en cause permettent effectivement de contrer le risque qui a été identifié. Ainsi par exemple, le CEPD considère que, lorsque el risque identifié est l’ingérence d’une autorité publique d’un Etats tiers, seules des mesures techniques telles que la pseudonymisation ou le chiffrement des données en leur lieu de destination peuvent permettre de rétablir la sûreté des transferts.

Une logique qui reprend celle du PIA

La méthodologie de l’examen proposé par le CEPD dans son projet de recommandation n’est donc pas sans rappeler celle de l’analyse d’impact des risques (« privacy impact assessment », PIA) exigée au titre de l’article 35 RGPD — bien que ne suivant pas un formalisme aussi strict — : cartographier les transfert, les fonder juridiquement sur un outil de transfert, évaluer les risques, établir un diagnostic, proposer des mesures correctives et les mettre en œuvre. Reste à déterminer comment ce type de documentation va se matérialiser, en pratique, dans la vie courante des entreprises…

Entre la nécessité d’imposer une lecture contraignante du principe d’« accountability », et celle d’éviter les effets pervers

La nécessité d’une interprétation stricte du principe d’« accountability »

Si l’on pouvait déplorer que, dans sa décision « Schrems II » la Cour de justice n’ait pas fait preuve d’une position plus nette quant à la décision de la Commission relative aux clauses contractuelles types (dite décision « CCT »), en dépit des abus dont il a précédemment été question, force est de constater que la logique de l’« accountability » permet de rétablir un certain équilibre.

Certes il revient aux exportateurs de déterminer si les transferts qu’ils opèrent sur le fondement de telles clauses et ou non conforme, ceux-ci se voyant, en quelque sorte, déléguer une forme de pouvoir d’apprécier la légalité de leurs propres faits. Toutefois — et c’est là la logique même de l’« accountability » — ces mêmes entreprises doivent encore, dans le même temps, pouvoir justifier juridiquement leurs choix, et surtout, documenter continument ceux-ci, dans les conditions qui ont été précédemment rappelées — ainsi que les Responsables sont déjà tenus de le faire, pas exemple, en tenant à jour leurs registres de traitements, ou en procédant à l’analyse d’impact de leurs traitements.

Eviter les effets pervers

Si une interprétation stricte des recommandations du CEPD est plus que souhaitable, afin d’éviter le contournement que peuvent opérer certaines entreprises américaines en matière de transferts de données personnelles, encore faut-il toutefois que celle-ci n’induise pas d’effets pervers. En effet, comme on l’a déjà affirmé à l’occasion de la décision « Schrems II », il serait extrêmement regrettable que les autorités de contrôle orientent en priorité leurs contrôles et leurs sanctions sur les entreprises européennes dépendantes des GAFAM.

A ce titre, l’exception permise par l’article 49.1. b° du RGPD, lorsque le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement, douteuse dans le cas de Facebook, qui entend pourtant l’invoquer — l’on voit pas en quoi le transfert vers les Etats-Unis des données des européens serait une nécessité pour la fourniture des services offerts par cette entreprise — apparaît pertinente dans le cas des entreprises européennes étroitement dépendantes des services de certaines grandes entreprises américaines. En s’abstenant de recourir aux services de ces dernières, ces entreprises les premières pourraient se voir contraintes de cesser leur activité.

Sur le même thème

 
Mis en avant
L’exploitation généralisée et indifférenciée des données de connexion en question
L’exploitation généralisée et indifférenciée des données de connexion en question

Article paru à la Revue de l’Union européenne (RUE), Dalloz, 2022, n°659 (juin 2022)

L’arrêt Schrems II, vers une résolution de l’équation transatlantique ?
L’arrêt Schrems II, vers une résolution de l’équation transatlantique ?

Article paru à la Revue de l’Union européenne (RUE), Dalloz, 2021, n°646 (mars 2021)

Actualité du droit du numérique dans l'Union européenne : bilan et perspectives
Actualité du droit du numérique dans l'Union européenne : bilan et perspectives

Dossier paru à la Revue de l’Union européenne (RUE), Dalloz, 2020, n°634 (janvier 2020)

L'extraterritorialité du RGPD dans le contexte du Cloud act
L'extraterritorialité du RGPD dans le contexte du Cloud act

Article paru à la Revue de l’Union européenne (RUE), Dalloz, 2019, n°630 (juillet-août), corédigé avec mon ami et confrère Me Farid Fatah

RGPD, Libertés, extraterritorialitéAlexis DeroudilleRGPD, libertés, privacy shield