Les transferts de données entre l'Union européenne et les États-Unis sont l'une des questions les plus débattues actuellement dans le domaine de la législation sur la protection des données. D'innombrables entreprises et agences gouvernementales européennes dépendent d'une manière ou d'une autre d'un sous-traitant basé aux États-Unis pour leurs opérations. Pourtant, ces transferts de données présentent des risques pour la vie privée qu'il est difficile, voire impossible, d'atténuer.
Nous avons déjà abordé la question des transferts de données dans un blog qui résume la longue histoire des décisions de la DPA à l'encontre de Google Analytics. Toutefois, cette fois-ci, nous allons examiner les transferts de données d'un point de vue plus général et tenter d'expliquer plus en détail les questions juridiques en jeu.
- Comment les transferts de données fonctionnent-ils dans le cadre du GDPR ?
- Transferts de données aux États-Unis. Une longue histoire en bref
- Mesures complémentaires pour les transferts de données
- L'approche basée sur le risque
- Et maintenant ?
- Mises à jour
- Conclusions
Comment les transferts de données fonctionnent-ils dans le cadre du GDPR ?
Le GDPR contient toutes sortes de règles visant à protéger les droits des individus en matière de données. Mais que se passe-t-il lorsque vos données sont transférées vers un pays tiers en dehors de l'EEE ?
Le GDPR contient un chapitre spécifique sur les transferts de données, composé de sept articles (44-50). Ces règles visent à garantir que les données à caractère personnel bénéficient du même niveau de protection lorsqu'elles sont transférées1.
Concrètement, un transfert de données vers un pays tiers n'est licite que s'il repose sur l'un des mécanismes énumérés par le GDPR. Pour faire court, nous nous concentrerons sur ceux qui comptent vraiment dans la pratique : les décisions d'adéquation et les clauses contractuelles types.
Décisions d'adéquation
Les décisions d'adéquation sont des décisions prises par la Commission européenne qui, pour l'essentiel, donnent le feu vert aux transferts de données vers un pays donné2. Avant de prendre une décision d'adéquation, le système juridique de ce pays est examiné en profondeur afin de s'assurer qu'il offre un niveau de protection suffisant3.
Si vous disposez d'une décision d'adéquation pour le transfert dont vous avez besoin, vous avez de la chance. Les décisions d'adéquation constituent un moyen facile et sans tracas de transférer des données. Toutefois, elles ne couvrent qu'un petit nombre de pays.
N'oubliez pas que les décisions d'adéquation ne sont pas des décisions politiques. En d'autres termes, la Commission n'est pas libre de déclarer un pays adéquat simplement parce qu'elle l'apprécie ou parce qu'il s'agit d'un allié politique ; elle doit s'assurer que les transferts de données vers ce pays sont réellement sûrs et doit tenir compte de certains critères spécifiques. La Cour de justice peut invalider une décision d'adéquation pour un pays qui ne satisfait pas à ces critères, ce qui s'est produit à deux reprises pour les États-Unis.
Clauses contractuelles standard
Si vous ne pouvez pas vous appuyer sur une décision d'adéquation, vous aurez besoin d'un autre mécanisme pour les transferts de données. L'article 46 en énumère six, mais dans la pratique, vous utiliserez probablement des clauses contractuelles types (CCN)4.
Les CCS sont un ensemble de clauses types rédigées par la Commission européenne5. Lorsqu'une personne transfère des données vers un pays tiers, elle doit inclure ces clauses dans un accord juridiquement contraignant avec le destinataire. Dans l'idéal, les CSC sécurisent le transfert en intégrant les règles de protection des données dans un contrat entre les parties.
Le principal défaut des CSC est qu'elles ne lient pas l'État destinataire. C'est pourquoi elles n'offrent que peu ou pas de protection contre la surveillance de l'État. Cela ne signifie pas que les CSC ne peuvent pas être utilisées lorsqu'il s'agit de pays "peu sûrs". Dans ce cas, des "mesures supplémentaires" seront nécessaires, comme dans le cas des transferts de données américains.
En d'autres termes, le responsable du traitement doit s'assurer que les CSC offrent une protection suffisante dans la pratique et, si ce n'est pas le cas, il doit prendre des mesures supplémentaires pour préserver la confidentialité des données. Comme nous le verrons, cela est très difficile lorsqu'il s'agit de surveillance étatique.
Qu'en est-il des autres mécanismes ?
Comme nous l'avons dit, le GDPR prévoit des instruments de transfert autres que les CSC et les décisions d'adéquation6, mais ils ne sont pas fréquemment utilisés dans la pratique. Les règles d'entreprise contraignantes (BCR) sont utilisées pour transférer des données au sein des succursales d'une société. Toutefois, les grandes entreprises préfèrent généralement créer des sociétés distinctes dans l'EEE et les contrôler par la détention de capital (pensez à Google Ireland et Meta Ireland). Les certifications et les codes de conduite pourraient gagner du terrain à l'avenir, mais ne sont pas largement utilisés pour l'instant.
Il est important de noter que tous ces instruments souffrent des mêmes problèmes que les CSC lorsqu'il s'agit d'États "peu sûrs", car ils ne lient pas l'État destinataire (les instruments juridiquement contraignants entre organismes publics sont l'exception, mais les entités privées ne peuvent pas s'en prévaloir).
Transferts de données aux États-Unis. Une longue histoire en bref
Pour comprendre où nous en sommes aujourd'hui en ce qui concerne les transferts de données aux États-Unis, il convient de jeter un rapide coup d'œil sur une décennie de batailles juridiques.
Schrems I
De 2000 à 2015, les transferts de données entre l'Union européenne et les États-Unis étaient couverts par un accord de transfert de données appelé " Safe Harbor".
En 2013, le lanceur d'alerte américain Edward Snowden a divulgué des documents confidentiels sur les activités de la CIA et de la NSA. Les révélations contenaient des enregistrements sur des opérations de collecte de données en vrac qui ciblaient des ressortissants étrangers à grande échelle et étaient basées sur la section 702 de la loi FISA et l'ordre exécutif 12333.
Peu après les révélations de Snowden, Max Schrems, citoyen autrichien, a déposé une plainte contre Facebook Ireland auprès de l'autorité de contrôle irlandaise (DPC). Il a affirmé que le transfert de ses données personnelles à Facebook Inc. était dangereux et illégal en raison de l'étendue et de l'omniprésence de la surveillance étatique aux États-Unis, telle que documentée dans les dossiers Snowden.
En 2015, l'affaire a été portée devant la Cour de justice de l'Union européenne, qui a statué en faveur de M. Schrem et a invalidé le régime de la sphère de sécurité.
Schrems II
L'affaire Schrems s'est poursuivie et a été renvoyée devant la CJUE une deuxième fois. En 2020, la Cour a de nouveau statué en faveur de Schrems. Elle a invalidé le Privacy Shield, un autre cadre pour les transferts de données qui a remplacé le régime de la sphère de sécurité entre les deux arrêts Schrems.
La validité des CSC en tant que mécanisme de transfert a également été remise en question dans cette affaire. La Cour n'a pas invalidé les CSC dans son arrêt. En d'autres termes, la Cour a "épargné" les CSC, mais en a rendu l'utilisation plus compliquée et plus contraignante.
Dans l'ensemble, l'arrêt Schrems II a rendu les transferts de données vers les États-Unis beaucoup plus compliqués. Les entreprises ne peuvent plus s'appuyer sur une décision d'adéquation après l'invalidation du bouclier de protection de la vie privée et doivent recourir à d'autres instruments (généralement des CSC). Elles doivent également mettre en œuvre des mesures supplémentaires adéquates pour contrer le risque de surveillance par l'État.
Les 101 plaintes
Malgré la panique générale suscitée par les transferts de données, la plupart des entreprises ont continué à faire comme si de rien n'était et à transférer des données vers les États-Unis comme si Schrems II n'avait pas eu lieu.
Mais juste après l'arrêt Schrems II, noyb (une ONG de défense de la vie privée fondée par Schrems) a déposé 101 plaintes centrées sur les transferts de données. Ces plaintes ont été déposées auprès des autorités de protection des données de plusieurs États membres et visent les sites web qui utilisent les services américains Google Analytics et Facebook Connect. Ces plaintes constituent un effort stratégique pour amener les autorités européennes de protection des données à appliquer rigoureusement l'arrêt Schrems II.
L'EDPB (European Data Protection Board, une institution européenne regroupant toutes les autorités européennes de protection des données) a ensuite créé un groupe de travail chargé de coordonner l'approche des autorités européennes de protection des données à l'égard des plaintes déposées par noyb. À première vue, le groupe de travail a fait du bon travail : jusqu'à présent, trois autorités de protection des données ont fait droit aux plaintes déposées contre Google Analytics, et l'autorité néerlandaise de protection des données a déclaré qu'elle pourrait suivre le mouvement. Dans un récent communiqué de presse, l'autorité danoise de protection des données a adopté la même approche et déclaré illégale l'utilisation de Google Analytics.
Mais le problème ne se limite pas à Google Analytics. Le raisonnement qui a conduit à l'interdiction de Google Analytics dans certains États membres pourrait un jour conduire à l'interdiction de nombreux autres services, y compris les services en nuage qui sont pratiquement indispensables à l'économie européenne à l'heure actuelle.
Mesures complémentaires pour les transferts de données
Et maintenant, la question à un milliard de dollars : quelles mesures supplémentaires sont efficaces contre la surveillance américaine ?
L'EDPD a proposé quelques solutions dans ses lignes directrices sur les mesures complémentaires, mais elles sont peu nombreuses et présentent toutes des limites importantes. Il convient de noter qu'il ne s'agit que de suggestions générales : il n'y a pas de réponse claire à la question, car les mesures de protection doivent être choisies et évaluées au cas par cas.
Chiffrement
Il convient d'établir une distinction fondamentale entre le cryptage de bout en bout et les autres formes de cryptage.
Lechiffrement de bout en bout peut constituer une mesure de protection efficace7. Cependant, il limite également ce qui peut être fait avec les données. Certaines opérations de traitement sont plus difficiles sur des données cryptées, et d'autres nécessitent simplement l'accès à certaines données en clair. Par exemple, le fournisseur d'un service de courrier électronique crypté de bout en bout doit traiter l'adresse de l'expéditeur et du destinataire en clair pour délivrer le courrier. Ces informations restent des données à caractère personnel au sens du GDPR.
D'autre part, le cryptage de bout en bout n'est jamais une protection efficace. Si le fournisseur de services détient une clé de décryptage8, il peut être tenu de la remettre en vertu de la loi FISA en même temps que les données cryptées. En d'autres termes, vos données sont dans un coffre-fort, mais les entreprises peuvent être contraintes de remettre la clé. C'est la raison pour laquelle les autorités autrichiennes, françaises et italiennes de protection des données ont toutes rejeté le cryptage des données de Google Analytics comme n'étant pas pertinent lorsqu'elles ont traité les plaintes de noyb.
Pour être tout à fait clair, le chiffrement de bout en bout reste une mesure de cybersécurité utile, car il protège efficacement contre les attaques. Il n'est cependant d'aucune utilité pour lutter contre la législation en matière de surveillance.
Serveurs proxy
La DPA française a proposé les serveurs proxy comme mesure de protection efficace pour l'utilisation de Google Analytics. C'est vrai, mais ils ne peuvent pas être utilisés pour tous les transferts de données. Ils sont également lourds et coûteux à mettre en œuvre, comme le reconnaît l'autorité française de protection des données.
L'idée est simple en théorie : au lieu d'envoyer les données directement à Google, vous les faites passer par un serveur proxy et vous filtrez ou anonymisez toutes les données personnelles avant de les envoyer à Google.
Le hic, c'est que vous devez héberger et exécuter Google Analytics sur votre propre serveur. Cela signifie que vous devez assurer la maintenance du serveur et maintenir manuellement le logiciel à jour, en plus d'écrire le code pour rendre anonymes toutes les données personnelles. C'est beaucoup plus compliqué et coûteux que de payer pour une alternative conforme au GDPR.
En outre, cette solution exige un contrôle total de l'infrastructure. Ce n'est pas une option attrayante pour l'utilisation de services en nuage, car le principal avantage de ces derniers est qu'ils ne nécessitent pas d'infrastructure physique au départ.
Pseudonymisation
L'EDPB propose également la pseudonymisation 9. En résumé, la pseudonymisation signifie que vous ne pouvez transférer que des données qui ne peuvent pas être utilisées pour ré-identifier la personne concernée, même en combinaison avec d'autres données.
La pseudonymisation n'est pas une anonymisation au sens du GDPR, mais elle peut certainement constituer une mesure de protection de la vie privée utile. Elle peut également être difficile à mettre en œuvre correctement. Remplacer les identifiants par des pseudonymes n'est pas suffisant, car il peut être nécessaire de traiter et de transférer un grand nombre d'autres données potentiellement identifiantes. Dans certains cas, une pseudonymisation correcte de toutes les données transférées sera impossible ou rendra le traitement pratiquement inutile.
Le responsable du traitement doit également prendre en compte le couplage des données, c'est-à-dire la possibilité que quelqu'un puisse réidentifier la personne concernée en combinant les données exportées avec toute autre information qu'il pourrait posséder. Il est difficile d'évaluer le risque de réidentification dans le cadre de la surveillance de l'État, car les services de renseignement recueillent beaucoup d'informations sur un grand nombre de personnes et ne sont pas transparents quant aux informations qu'ils détiennent - c'est leur travail après tout.
L'approche basée sur le risque
Certaines entreprises adoptent une approche basée sur le risque pour les transferts de données. Elles affirment essentiellement qu'un transfert est sûr et licite lorsque la probabilité que les données transférées fassent l'objet d'une surveillance est suffisamment faible.
Cependant, le chapitre V du GDPR ne fait jamais référence à la notion de risque10, et la décision Schrems II ne prend jamais en compte la probabilité que les données soient soumises à une surveillance. C'est pourquoi l'EDPB, le CEPD11 et les DPA autrichienne et italienne12 ont explicitement rejeté l'approche fondée sur le risque.
Pour être clair : lorsqu'il transfère des données, un exportateur doit déterminer si les données spécifiques qu'il exporte sont soumises à une législation de surveillance "problématique" en premier lieu. Cette question est nécessaire pour évaluer les transferts de données et ne doit pas être confondue avec l'approche fondée sur les risques que les autorités de protection des données rejettent actuellement.
Mais la réponse à cette question sera "oui" pour la plupart (si ce n'est la totalité) des transferts de données américains, car le champ d'application de la FISA semble être assez large dans la pratique, comme le montrent les dossiers Snowden.
Et maintenant ?
Comme nous l'avons vu, les transferts de données constituent actuellement un véritable casse-tête juridique. Les garanties efficaces sont très rares, voire inexistantes pour certains transferts. Dans le même temps, les autorités s'orientent vers une approche plus stricte des transferts de données.
Bien entendu, le problème ne se limite pas à Google Analytics. Une position stricte sur les transferts de données pourrait rendre illégal le recours à de nombreux fournisseurs de services basés aux États-Unis, y compris les services basés sur le cloud, qui sont pratiquement irremplaçables à l'heure actuelle.
C'est pourquoi les transferts de données sont une question très délicate. D'une part, les transferts de données ne doivent pas porter atteinte aux garanties de protection de la vie privée prévues par le GDPR. D'autre part, il n'est pas raisonnable de faire peser entièrement la charge de la conformité sur les entreprises. Forcer les entreprises à abandonner GA au profit d'autres outils d'analyse est une chose. Attendre d'elles qu'elles se passent d'Oracle ou d'AWS en est une autre.
C'est pourquoi une solution politique doit être trouvée à un moment ou à un autre. La Commission européenne et le gouvernement américain travaillent actuellement sur un autre accord de transfert de données, et un décret du président Biden sur les transferts de données est attendu prochainement. Toutefois, les États-Unis n'ont pas modifié leur législation en matière de surveillance depuis l'arrêt Schrems II et, en l'absence de tels changements, un nouveau cadre de transfert de données pourrait ne pas survivre à un arrêt Schrems III.
Mises à jour
Le nouveau cadre de transfert de données est en bonne voie. Le président américain Joe Biden a publié un décret sur les activités de surveillance en octobre 2022 et la Commission européenne a publié un projet de décision d'adéquation deux mois plus tard. Ce projet doit maintenant être voté par les États membres de l'UE pour entrer en vigueur. L'approbation est très probable malgré l'avis négatif du Parlement européen.
Noyb a l'intention de contester la décision devant la Cour de justice de l'UE, ce qui laisse présager un arrêt Schrems III. Le nouveau cadre est complexe et il est difficile de dire comment les choses se dérouleront, mais il y a un risque que la Cour invalide encore un autre cadre de transfert de données. Pour l'heure, l'avenir des transferts de données reste incertain.
Dans un autre développement important pour les transferts de données, Meta est actuellement confronté au risque d'une panne de Facebook à l'échelle européenne. En mai 2023, l'autorité irlandaise de protection des données a infligé à Meta Platforms Ireland une amende record de 1,2 milliard d'euros et lui a ordonné de cesser les transferts de données vers les États-Unis pour son service Facebook. Le Comité européen de protection des données a été directement impliqué dans cette décision importante et controversée. Pour en savoir plus, cliquez ici.
Conclusions
Même si les problèmes liés aux transferts de données se poursuivront dans un avenir proche, les entreprises peuvent se protéger en utilisant des alternatives européennes aux services de cloud américains.
Le GDPR est là pour protéger les données des citoyens européens. Le respect de la loi devrait être une priorité pour toutes les entreprises. En outre, nous pensons que les entreprises devraient aller plus loin que le simple respect de la loi.
L'internet sera un meilleur endroit si les organisations mènent leurs activités sans s'appuyer sur des outils invasifs pour la vie privée tels que Google Analytics. C'est la bonne chose à faire d'un point de vue éthique. C'est pourquoi nous avons créé Simple Analytics, une alternative à Google Analytics respectueuse de la vie privée, qui n'utilise pas de cookies et ne collecte aucune donnée personnelle, tout en fournissant les informations dont vous avez besoin.
Nous croyons en la création d'un web indépendant et convivial pour les visiteurs de sites web. Si vous vous sentez concerné, n'hésitez pas à nous essayer.
1 : Art. 44(2) GDPR 2 : Art. 45 DU RGPD 3 : Article 45, paragraphe 2, du RGPD 4 : Article 45, paragraphe 2, du RGPD 45(2) GDPR 4 : Art. 46, paragraphe 2, point c), du GDPR 5 : Techniquement, une autorité de protection des données peut rédiger ses propres CSC et les soumettre à la Commission pour approbation (article 46, paragraphe 2, point d), du GDPR). Mais dans la pratique, lorsque quelqu'un parle de CSC, il s'agit toujours de celles de la Commission 6 : Art. 46 GDPR 7 : Recommandations 01/2020 de l'EDPB sur les mesures qui complètent les outils de transfert pour garantir le respect du niveau de protection des données à caractère personnel de l'UE, version 2.0, paragraphe 84. 84. 8 : Recommandations 01/2020 de l'EDPB sur les mesures qui complètent les outils de transfert afin de garantir le respect du niveau de protection des données à caractère personnel de l'UE, version 2.0, par. 81. 9 : Recommandations 01/2020 de l'EDPB sur les mesures qui complètent les outils de transfert afin de garantir le respect du niveau de protection des données à caractère personnel de l'UE, version 2.0, par. 85. 10 : Le GDPR adopte une approche fondée sur le risque pour certaines obligations de conformité (par exemple, les obligations de sécurité au titre de l'article 32 du GDPR), mais ce n'est pas le cas pour les transferts de données 11 : Avis conjoint 2/2021 de l'EDPB et du CEPD sur les clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers, paragraphes 86 et 87. 86 et 87 12 : L'argument n'a pas été soulevé devant la CNIL française.