Compliance, audit et risques

Conséquences de l’invalidation du Privacy Shield

La Cour de Justice de l’Union Européenne (CJUE) a publié le 16.07.2020 son arrêt très attendu dans l’affaire « Maximilian Schrems contre Facebook ». Elle a déclaré invalide le Privacy Shield, ce « bouclier de protection » autorisant les transferts de données de l’Europe vers les États-Unis.

 

L’interdiction juridique de transférer des données aux États-Unis

Légalité des transferts.

Avant cette décision de la CJUE (aff. C-311/18), la légalité d’un transfert de données de l’Europe vers les États-Unis reposait essentiellement sur deux mécanismes : la décision d’adéquation, dite Privacy Shield, par laquelle la Commission européenne déclarait en somme que les entreprises américaines adhérentes proposaient un niveau de protection des données équivalent à ce que l’on trouve en Europe ; et les clauses contractuelles types (CCT), qui avaient pour objet d’ajouter aux contrats conclus avec des entités américaines différentes clauses visant à protéger les données des Européens et à leur assurer de véritables recours en justice.

Bon à savoir. L’ancêtre du Privacy Shield, le Safe Harbor, avait déjà été invalidé par la CJUE.

Il s’agissait d’un mécanisme très proche de celui invalidé le 16.07.2020 pour avoir repris la même effectivité de façade.

 

Bras de fer UE-États-Unis.

Si le mécanisme du Privacy Shield, basé sur une autocertification des entreprises américaines, n’a jamais vraiment convaincu, il disposait au moins d’une effectivité théorique. Les entreprises s’engageaient à assurer un traitement des données équivalent à ce qui existe en Europe et à protéger ces dernières de tout accès illégitime, y compris à la justice américaine.

Or, par un jeu d’escalade de réglementations de part et d’autre de l’Atlantique, le gouvernement américain en est venu à adopter deux textes (voir infra) lui donnant un accès quasi-total à toutes les données de toutes les entités soumises au droit américain. Dans ces conditions, et même sur le papier, le Privacy Shield ne pouvait plus prétendre assumer sa mission première.

 

Les actions à mettre en œuvre par les entreprises

Paradoxe juridique.

Selon l’arrêt de la CJUE, il convient de mettre en place de nouveaux mécanismes visant à protéger les données personnelles des Européens d’un accès aux tribunaux américains et à la National Security Agency (NSA), tout en tenant compte du fait que ces derniers ne connaissent aucune limitation dans leur accès aux données (CJUE aff. C-311/18 §65).

En effet, dès lors que l’entreprise hébergeant les données est soumise au droit américain, ces entités peuvent y accéder à tout moment, sans aucune limitation ni contrôle judiciaire, notamment grâce au Cloud Act et à l’Executive Order 12333. Les entreprises européennes n’ont donc juridiquement parlant aucune solution de repli.

À noter. Les offres cloud des acteurs américains tels que Microsoft ou Amazon ne sont pas totalement basées en Europe, contrairement à ce que laissent penser leurs documentations commerciales. Par ailleurs, la législation américaine ne tient pas compte de la localisation des données : l’accès est possible du moment que l’entreprise est américaine.

 

Échappatoire technique.

Des solutions techniques peuvent être envisagées afin de rendre les données illisibles, le chiffrement p.ex. pour empêcher le gouvernement américain d’y accéder.

En pratique. Un chiffrement en masse des données est extrêmement coûteux et susceptible de ralentir très fortement les outils informatiques. Il faut, par ailleurs, bien choisir le type de chiffrement déployé, la NSA étant à même de casser certains algorithmes en quelques secondes.

 

Renforcement des garanties.

Si les solutions techniques ne suffisent pas, des garanties financières sont à mettre en place afin d’indemniser les personnes dont les données personnelles ont été insuffisamment protégées : les entreprises doivent négocier une répartition de cette prise en charge avec leurs prestataires ou s’assurer solidement de façon autonome, via notamment des produits dédiés à la cybersécurité. Il est utopique d’obtenir de tels engagements financiers d’acteurs américains majeurs dont les contrats sont souvent figés. En l’absence de garanties techniques ou financières suffisantes, le responsable de traitement se doit de mettre fin aux transferts de données ou d’informer son autorité de contrôle qu’il compte les poursuivre, avec les risques que cela comporte de se mettre ainsi en lumière auprès du régulateur.

 

Les prochains mois seront décisifs pour savoir si les entreprises européennes peuvent continuer de travailler avec des entités américaines de manière pérenne. Dans l’attente, des mesures de protection doivent être rapidement déployées pour respecter ce cadre légal temporaire.

 

Article rédigé par Monsieur Andrea Martelletti, Consultant RGPD certifié et issu de la lettre Alertes & Conseils Gestion Finance éditée par les Editions FRANCIS LEFEBVRE, novembre 2020.

  • compliance
    Compliance, audit et risques

    Face à la multiplication des règles juridiques et éthiques, les organisations s’engagent de plus en plus dans une démarche de conformité. Enjeu stratégique majeur, le programme de compliance permet à l’entreprise de réduire son exposition aux risques, tout en véhiculant une image transparente et...

  • Lanceur d'alerte
    Compliance, audit et risques

    Le régime relatif à la protection des lanceurs d’alerte a récemment évolué avec l’adoption de la loi n° 2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte et de la loi organique n° 2022-400 du 21 mars 2022 visant à renforcer le rôle du Défenseur des droits en matière de...