Expertises des Systèmes d'information - Mars 2022 - N°477 - Le mensuel du droit de l'informatique et du multimédia - 97

Les récentes restrictions
imposées aux transferts
de données personnelles
vers les Etats-Unis
Les entreprises européennes
partageant des données personnelles
avec des entités situées
aux Etats-Unis, ou recourant
à des prestataires américains,
s'inquiètent légitimement de
la difficulté à réaliser de tels
transferts depuis l'invalidation
du « Privacy Shield » par la CJUE
en juillet 2020 dans son arrêt
Schrems II, et les décisions adoptées
par les autorités européennes
de protection des données depuis
cette décision.
Le « Privacy Shield » était un cadre
juridique créé par un accord entre
la Commission européenne et le
Department of Commerce américain
permettant aux entreprises
américaines s'engageant à respecter
certaines garanties inspirées
du RGPD de recevoir librement
des données à caractère personnel
de la part d'entités européennes.
Il faisait suite à l'annulation
du « Safe Harbor » en 2016 par la
CJUE. Ce cadre juridique a, une
nouvelle fois, été invalidé par la
CJUE en raison des risques d'accès
par les autorités américaines aux
données personnelles transférées
aux Etats-Unis et à leur utilisation
à des fins de sécurité nationale.
La Cour a notamment relevé que
ce risque pourrait résulter de la
section 702 du Foreign Intelligence
Surveillance Act (« FISA »), qui
impose à certains fournisseurs
de services en ligne de fournir,
sur demande, des données aux
autorités américaines (telles que la
NSA ou le FBI), permettant ainsi la
mise en œuvre de programmes de
surveillance.
Tandis que l'invalidation du Privacy
Shield ne concernait que les transferts
vers environ 5.000 entreprises
américaines, l'autre apport
essentiel de l'arrêt Schrems II était
amené à avoir des conséquences
beaucoup plus importantes en
termes de volumes de données. En
effet, la CJUE a également imposé
la mise en œuvre de garanties
supplémentaires non prévues par
le RGPD avant de pouvoir procéder
aux transferts de données hors de
l'Espace économique européen les
plus communs, ce qui complique
considérablement la réalisation de
transferts vers les Etats-Unis.
La CJUE a en effet souligné que les
entreprises européennes procédant
à des transferts vers des pays
tiers ne peuvent se contenter de
recourir à un des instruments de
transfert prévus par le RGPD (tels
que les clauses contractuelles types
adoptées par la Commission européenne5
contraignantes
,
ou les règles d'entreprises
(plus
sous leur appellation anglaise
de « binding corporate rules »).
Les exportateurs de données
doivent également vérifier, préalablement
à la réalisation de tout
transfert, si le pays destinataire
assure un niveau de protection des
données essentiellement équivalent
à celui requis par le droit de
l'Union européenne. Cela implique
une analyse, au cas par cas, des
législations et pratiques du pays de
destination, pour évaluer si celui-ci
dispose de lois et pratiques suffisamment
protectrices des données
personnelles qui pourraient y
être importées, ou créant une
possibilité d'accès par les autorités
publiques étrangères aux données
personnelles transférées.
Lorsque l'analyse du droit et des
pratiques du pays de destination
révèle que le niveau de protection
des données transférées n'y est
pas suffisamment similaire à celui
fourni au sein de l'Union européenne,
l'exportateur
de données
doit s'abstenir de procéder au
transfert ou mettre en œuvre des
garanties
complémentaires
(en
plus de la mise en place de clauses
contractuelles types ou règles
d'entreprise contraignantes).
Le Comité européen de la protection
des données (le « CEPD »)
a précisé que plusieurs types
EXPERTISES MARS 2022
connues
de mesures
complémentaires
peuvent s'avérer appropriées, en
particulier des mesures contractuelles,
organisationnelles ou
techniques (notamment
la pseudonymisation
ou le chiffrement
des données)6
.
Le respect de ces nouvelles
exigences est particulièrement
important pour assurer la continuité
des transferts puisque la
CJUE, dans son arrêt Schrems II, a
souligné que les autorités de protection
des données européennes sont
tenues de suspendre ou interdire
les transferts de données lorsqu'elles
constatent qu'un niveau
de protection substantiellement
équivalent n'est pas garanti. Cette
suspension pourrait s'accompagner
de sanctions, notamment
d'amendes pouvant aller jusqu'à
20 millions d'euros ou 4% du chiffre
d'affaires de l'entreprise.
Ainsi,
dès mars
2021,
l'autorité
de protection des données
portugaise a imposé à une autorité
publique locale de suspendre,
dans un délai de 12 heures, tout
transfert de données vers
son
prestataire de services cloud
situé aux Etats-Unis. Même si
des clauses contractuelles types
étaient en place, le fait que ce
prestataire puisse être contraint
par les autorités de surveillance
américaines de leur communiquer
des données personnelles (sans en
informer les personnes concernées)
ne permettait pas d'assurer
aux citoyens européens un niveau
de protection essentiellement
équivalent à celui requis par le
droit de l'Union européenne7
.
Plus récemment, l'outil de mesure
d'audience des sites Internet
Google Analytics8
s'est retrouvé
au cœur des attentions des autorités
européennes relativement
aux transferts opérés vers les
Etats-Unis. Google Analytics -
dans sa configuration classique
- collecte notamment l'adresse IP
des personnes utilisant des sites
Internet sur lesquels cette fonctionnalité
est utilisée, et transfère
97
Expertises des Systèmes d'information - Mars 2022 - N°477 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Mars 2022 - N°477 - Le mensuel du droit de l'informatique et du multimédia
