Prochaines étapes pour les entreprises de l'UE et FAQ

20 July 2020

Etapes que les responsables du traitement devraient prendre

En ligne avec les FAQ de l’EDPB sur le jugement « Schrems 2 », nos première recommandations aux responsables du traitement sont les suivantes :

  1. Revoyez tous vos transferts de données vers un pays non EU/EEA (y inclus les transferts vers des sous-traitants ou des responsables du traitement dans l’EU/EEA qui procèdent à un transfert ultérieur dans un pays non EU/EEA
  2. Identifiez les bases légales pertinentes pour le transfert (par ex : décision d’adéquation, Article 49, Privacy Shield, CCT, etc…)
  3. En relation avec l’article 50 USC §1881a (FISA 702) et l’ordre EO 12.333, identifiez tout fournisseur de communications électroniques et tout flux de données vers les US qui ne serait pas sécurisés contre les interceptions de la NSA (voir le modèle de demande ci-dessous)
  4. Arrêtez votre transfert si :
    • Vous ou un de vos partenaires continue d’utiliser le Privacy Shield
    • Une entité américaine participant au transfert est un fournisseur de communications électroniques
    • Vous ne pouvez pas protégez vos données des interceptions de la NSA
  5. Si vous vous voulez continuer à utiliser les CCT, BCRs ou tout autre instrument en dépit de votre évaluation négative du transfert, communiquez-le à votre DPA.

 

Modèles de demande

Nous sommes pleinement conscients que de nombreux responsables de traitement sont dépassés par le récent arrêt de la CJUE sur les transferts de données entre l'UE et les États-Unis et l'absence de délai de grâce. Nous avons résumé ci-dessous les questions et réponses les plus courantes. Nous fournissons également deux modèles de textes de demande que vous pouvez envoyer à tout partenaire américain ou à tout partenaire de l'UE ayant des liens avec les États-Unis. Ne pas tarder à prendre des mesures peut être un facteur pertinent pris en compte par une autorité de protection des données lorsqu’elle envisage d'infliger des amendes pour non-respect de l'arrêt de la CJUE. Nous mettrons à jour ces FAQ et publierons des FAQ spécifiques et des textes modèles pour les utilisateurs ("personnes concernées") dans les prochains jours. Faites-nous savoir si vous avez des commentaires.

Demandes types adressées aux fournisseurs américains ou aux fournisseurs ayant des liens avec les États-Unis

Vous pouvez utiliser ces modèles de demande pour les types de flux de données UE-USA les plus courants qui peuvent être affectés par l'arrêt de la CJUE :

Nous ajouterons bientôt d'autres demandes-types pour d'autres situations.

 

FAQ pour les entreprises de l'UE

  • Quelles sont les conséquences si je n'agis pas ?

La CJUE a souligné que les responsables du traitement et (dans le cas où ces derniers restent inactifs) les autorités chargées de la protection des données ont le devoir d'agir pour suspendre ou interdire les transferts de données (paragraphe 134 de l'arrêt) lorsqu'ils ne disposent pas d'un instrument juridique valable pour un transfert. Cela signifie qu'il n'y a aucune chance de bénéficier d'un "délai de grâce" dans ce cas.

Selon le RGPD, vous risquez une amende de 20 millions d'euros ou 4 % du chiffre d'affaires global si vous continuez à transférer des données sans instrument juridique valable (article 83, paragraphe 5, point c), du GDPR). Les ONG, les comités d'entreprise ou les utilisateurs individuels peuvent déposer des plaintes ou engager des poursuites, y compris pour des dommages moraux.

Il est probable qu'une APD n'infligera pas d'amende à un contrôleur si celui-ci peut démontrer que toutes les mesures nécessaires pour se conformer à l'arrêt de la CJUE ont été prises le plus rapidement possible. Cette page est destinée à aider les contrôleurs à démontrer qu’ils ont adopté de telles mesures.

  • Vérifiez si vous avez besoin de transférer des données à l'étranger d'un point de vue commercial !

Dans de nombreux cas, les prestataires externes hors UE/EEE ont été choisis sans trop se soucier des ramifications. Par conséquent, vous pouvez dans de nombreux cas passer à un fournisseur de l'UE/EEE (ou à un fournisseur d'un pays "adéquat" comme la Suisse) et éviter ainsi tout problème de transfert de données

Même si le recours à un prestataire de l'UE/EEE peut sembler plus coûteux au départ, le temps passé à rendre un transfert hors UE/EEE légal peut vous coûter plus cher que ce que vous économisez sur une offre moins chère provenant de l'étranger.

  • Si vous utilisez toujours les CCT pour des transferts à un fournisseur hors UE/EEE, que devez-vous faire ?

Le contrôleur et le prestataire concernés doivent procéder à une analyse "au cas par cas" (paragraphe 134 de l'arrêt), afin de vérifier s'il existe des lois nationales auxquelles ce prestataire est soumis et qui empêchent une protection adéquate des données.

En règle générale, les lois qui autorisent l'accès aux données par les services en matière de police et de justice dans des cas individualisés et sous réserve de l'approbation d'un juge seront conformes au droit européen. Les formes d'accès moins démocratiques et de grande envergure ("traitement de masse") ou l'accès sans contrôle judiciaire ne seront pas conformes au droit de l'UE.

  • Si j'utilise spécifiquement les CSC pour des transferts vers un fournisseur américain, que dois-je faire ?

La plupart des fournisseurs américains de services de cloud relèvent de la législation FISA 702 et vous ne pourrez plus les utiliser. La définition du 50 USC § 1881(b)(4) pour un "fournisseur de services de communication électronique" inclut :

  • Les fournisseurs de services informatiques à distance,
  • Les fournisseur de services de communication électronique,
  • Les entreprises de télécommunications,
  • Tout autre fournisseur de services de communication qui a accès à des communications par fil ou par voie électronique, soit au moment où ces communications sont transmises, soit au moment où elles sont stockées, et tout responsable, employé ou agent d'une telle entité.

Si vous n'êtes pas certain, vous pouvez demander à votre fournisseur s'il est soumis au FISA 702 et/ou s'il dispose de protections adéquates contre la surveillance de tiers en transit (par application du FISA 702 et/ou du décret 12.333). Comme chaque situation est différente, nous avons préparé des exemples de questions préliminaires que vous pouvez utiliser gratuitement pour savoir si votre solution de traitement américaine est conforme à l'arrêt :

Télécharger : Exemples de questions pour l'utilisation des CCT avec un fournisseur américain.

  • Si j'utilise un fournisseur qui traite des données dans l'UE/EEE, mais qui est lié à une société américaine (ou qui l'utilise), que dois-je faire ?

La FISA 702 et le Décret 12.333 n'ont pas de limitation territoriale. Ils s'appliquent également aux serveurs dans l'UE qui sont exploités par un "fournisseur de services de communication électronique" américain ou dont certaines opérations sont sous-traitées à un fournisseur américain. Le lieu d'hébergement n'est donc pas pertinent.

Dans certains cas, les fournisseurs peuvent avoir suffisamment limité l'accès factuel (via "possession, garde ou contrôle") des entités américaines, de sorte qu'un serveur de l'UE/EEE est en fait hors de portée du gouvernement américain. Par exemple, cela peut être le cas si une entité de l'UE est tenue par le GDPR de ne pas fournir de données à la société mère américaine et qu'il n'y a pas d'accès factuel par la société mère américaine

Comme chaque situation est différente, nous avons préparé des exemples de questions préliminaires que vous pouvez utiliser gratuitement pour savoir si votre solution de traitement de l'UE est conforme à l'arrêt :

Télécharger : Exemples de questions pour l'hébergement au sein de l'UE, avec un lien vers les États-Unis

  • Qu'en est-il de la surveillance en transit ?

Au paragraphe 183 du jugement C-311/18, la CJUE a également estimé que la surveillance américaine "en transit" (tout comme celle "en amont" ou les prises des câbles sous-marins) violait les droits fondamentaux reconnus par l'UE

Du point de vue du RGPD, nous adoptons la position préliminaire selon laquelle une telle altération externe des données personnelles relève principalement de l'article 32 GDPR ("sécurité du traitement"). L'exportateur et l'importateur de données doivent donc mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données transférées contre les écoutes de la NSA/du FBI

Étant donné que le gouvernement américain dispose de vastes pouvoirs pour casser le cryptage, la question de savoir si et comment une solution technique est possible est principalement une question technique dans chaque situation de transfert. Le gouvernement américain prétend utiliser principalement des "sélecteurs" (tels que les adresses électroniques, les adresses IP ou les numéros de téléphone) pour des programmes comme Upstream. Toute approche technique doit donc s'assurer que ces sélecteurs se trouvent sous la couche de cryptage de bout en bout. Dans de nombreuses formes de communications directes (comme un courrier électronique crypté par PGP), les "sélecteurs" ne sont pas eux-mêmes cryptés

Vous pouvez utiliser les exemples de questions ci-dessus pour interroger votre fournisseur sur les mesures contre la surveillance en transit.

  • Existe-t-il une liste des fournisseurs américains qui relèvent de ces lois de surveillance ?

Il n'existe pas de liste complète de tous les fournisseurs américains qui relèvent de la loi 702 FISA (50 USC § 1881a), car tous les "fournisseurs de services de communication électronique" relèvent de cette loi. La définition d'un "fournisseur de services de communication électronique" se trouve à l’article 50 USC § 1881(b)(4).

Dans le même temps, un certain nombre de sociétés ont publié des "rapports de transparence" qui répertorient les accès dans le cadre du FISA. Cela nous permet de savoir que ces entreprises sont bien sous le coup d'une ordonnance FISA

Vous pouvez trouver quelques exemples ici (de nombreuses autres entreprises ne partagent tout simplement pas ces informations, bien qu'elles sont sujettes au FISA 702) :

AT&T

Amazon (AWS)

Apple

Cloudflare

Dropbox

Facebook

Google

Microsoft

Verizon Media (anciennement Oath & Yahoo)

Verizon

  • Qui est responsable des coûts de mise en œuvre des retombées de l’arrêt C-311/18 ?

Si vous avez déjà utilisé les CSC pour vos transferts, la loi n'a pas changé. Tout prestataire hors UE/EEE avait le devoir de vous informer sur les lois telles que la FISA 702 et l'OE 12.333. S'ils ne l'ont pas fait, ils sont responsables de tous les coûts résultant de l'annulation des CSC et du transfert de données vers l'UE/EEE en vertu de la clause II de l'annexe de la décision 2004/915/CE ou de la clause 5(b) de l'annexe de la décision 2010/87

La décision sur le « Privacy Shield » était une décision exécutive incorrecte de la Commission européenne. En théorie, des demandes de dommages et intérêts peuvent être introduites contre l'UE en vertu de l'article 340 du TFUE.

  • Puis-je simplement utiliser l'article 49 GDPR pour tous les transferts américains ?

L'EDPB a adopté la position que l'article 49 ne peut être utilisé que pour des "transferts occasionnels et non répétitifs", ce qui limite l'article 49 aux situations individuelles où les utilisateurs ont donné leur consentement explicite ou si le transfert est strictement nécessaire pour fournir un contrat (par exemple une réservation d'hôtel à l'étranger).

Contrairement à certaines affirmations, l'externalisation des opérations de traitement n'est pas strictement "nécessaire" pour fournir le contrat, si vous pouvez théoriquement aussi faire appel à un fournisseur de l'UE/EEE ou traiter les données en interne. Les responsables du traitement doivent également garder à l'esprit que les personnes concernées peuvent retirer leur consentement à tout moment.

Si l'article 49 permet de maintenir des communications "de base" avec n'importe quel pays du monde (de la Suisse à la Corée du Nord), il ne s'agit que d'une dérogation pour les transferts absolument nécessaires.

Lien : Lignes directrices 2/2018 sur les dérogations à l'article 49

  • Comment puis-je évaluer si la législation du pays tiers est compatible avec les droits fondamentaux de l'UE ?

Après l'arrêt Schrems I, en 2016, le groupe de travail Article 29 (aujourd'hui EDPB) a fourni des orientations claires sur ce qui peut et ne peut pas être considéré comme une ingérence justifiable dans les droits fondamentaux dans une société démocratique en ce qui concerne le droit européen de la protection des données (articles 7 et 8 de la Charte). Dans ce document de travail, les DPAs ont déjà identifié quatre garanties essentielles européennes qui devraient être respectées dans les pays où les données de l'UE sont envoyées :

A. Le traitement doit être basé sur des règles claires, précises et accessibles

B. La nécessité et la proportionnalité par rapport aux objectifs légitimes poursuivis doivent être démontrées

C. Un mécanisme de contrôle indépendant doit exister

D. Des recours effectifs doivent être disponibles pour la personne concernée.

On notera que la CJUE a utilisé au moins deux points de ces lignes directrices pour invalider le Privacy Shield. Il peut donc vous être utile de consulter d'abord ce document de travail.

Lien : Document de travail 237 du Groupe de travail Article 29