(Mise à jour : l'affaire a été annulée en appel. Vous pouvez trouver un résumé de l'arrêt d'appel sur le gdprhub)
Le 13 juillet, la Chambre des marchés publics de l'État allemand du Bade-Wurtemberg a statué sur une affaire concernant une procédure de passation de marché public pour un logiciel de gestion numérique. Ce faisant, elle a estimé que les transferts de données à caractère personnel vers les États-Unis sur la base de clauses contractuelles types étaient contraires au GDPR.
Il convient de noter que la Chambre n'est pas une autorité de protection des données et que l'affaire n'est pas, à proprement parler, une affaire de protection des données. Toutefois, cette décision est très importante. Plusieurs autorités européennes de protection des données ont adopté une approche stricte des transferts de données en traitant les 101 plaintes déposées par noyb. La décision en question indique que l'approche stricte des transferts de données pourrait maintenant gagner du terrain en dehors des limites étroites de la loi sur la protection des données.
En outre, la décision est principalement axée sur l'aspect du droit administratif. Les questions de protection des données en jeu ne sont pas expliquées très clairement et le raisonnement de la Chambre sur certains points cruciaux doit être déduit par le lecteur. Cette décision n'est pas facile à déchiffrer, mais nous avons fait de notre mieux pour en présenter l'essentiel de manière précise et lisible.
Plongeons dans le vif du sujet !
L'affaire en question
Une autorité publique a lancé un appel d'offres pour l'acquisition d'un logiciel de gestion numérique. Les critères d'attribution comprenaient des exigences en matière de protection et de sécurité des données : plus précisément, toutes les données devaient être traitées conformément au GDPR et à la loi fédérale sur la protection des données. L'appel d'offres a été remporté par la filiale européenne d'une société américaine (les noms des sociétés sont omis).
Une autre entreprise ayant participé à l'appel d'offres a demandé à la Chambre d'examiner la décision, affirmant que le service offert par l'entreprise gagnante impliquait des transferts de données vers les États-Unis en violation du GDPR. En fait, l'entreprise gagnante s'est appuyée sur la société européenne dérivée d'AWS (Amazon Web Services EMEA SARL) en tant que sous-traitant. AWS EMEA offrait la possibilité de stocker les données dans l'UE, mais continuerait à divulguer des données à caractère personnel à la société mère dans des scénarios spécifiques :
- Pour maintenir le service ou fournir une assistance.
- Pour se conformer à la loi ou à un ordre juridiquement contraignant.
Les clauses contractuelles types (CCN) constituent le mécanisme de transfert des données prévu par le GDPR. À titre de mesure de sauvegarde supplémentaire, l'entreprise a crypté les données et s'est engagée à contester toute demande d'accès aux données "exagérée ou excessive" de la part des autorités.
La Chambre a estimé que le transfert de données était effectivement en violation du chapitre V du GDPR. Elle a ordonné à l'autorité publique de réévaluer les offres, car le respect du GDPR était l'une des exigences énoncées dans l'avis d'appel d'offres.
Principaux points de l'arrêt
- LesCSC ne garantissent pas une protection adéquate des transferts de données à caractère personnel vers les États-Unis.
- Les garanties supplémentaires ont été jugées insuffisantes (mais les arguments relatifs au cryptage n'ont pas été examinés par la chambre pour des raisons de procédure).
- Lesimple fait que des données à caractère personnel soient accessibles auprès d'un fournisseur américain signifie qu'un transfert de données est en place et que les règles du GDPR sur les transferts de données s'appliquent. En fait, les données étaient localisées dans l'UE dans le cas présent. Néanmoins, la société mère américaine pouvait y accéder (l'affaire est quelque peu similaire à la récente décision Datatilsynet sur Google Workspace à cet égard).
Le raisonnement qui sous-tend cette décision est conforme à la logique de plusieurs autorités de protection des données européennes et trouve son fondement dans le fait que les entreprises américaines qui sont considérées comme des "fournisseurs de services de communication électronique" sont tenues de divulguer des données aux services de renseignement américains s'ils en font la demande.
Les conséquences de l'arrêt
Certains points doivent être soulignés. Tout d'abord, la Chambre des marchés publics n'est ni une autorité de protection des données ni un tribunal, mais plutôt une autorité indépendante chargée du droit administratif. Par conséquent, la décision n'aura probablement pas autant de poids qu'une décision émanant d'une autorité de protection des données. Deuxièmement, la chambre n'est compétente que pour l'État allemand du Bade-Wurtemberg ; d'autres autorités allemandes peuvent adopter une approche différente.
Ceci étant dit, la décision est très importante. La Chambre des marchés publics n'est pas l'un des acteurs centraux de l'application du cadre européen de protection des données et n'est généralement pas impliquée dans l'interprétation du GDPR. Toutefois, la décision est conforme à l'approche adoptée par plusieurs autorités européennes de protection des données lorsqu'elles ont traité les 101 plaintes déposées par le noyb (ce qui est le résultat des efforts de coordination du Comité européen de protection des données). Cela pourrait être le signe qu'une approche stricte des transferts de données gagne du terrain et influence les autorités moins impliquées dans la mise en œuvre du GDPR.
Réflexions finales
La vie privée est un droit de l'homme et doit être traitée comme tel. Les organismes de réglementation de l'UE montrent enfin les dents. Pour les organisations qui souhaitent rester dans la légalité, il existe de nombreuses alternatives européennes qui pourraient remplacer les homologues américains que vous utilisez actuellement.
Nous avons conçu Simple Analytics comme une alternative à Google Analytics qui privilégie la protection de la vie privée. Nous pensons qu'il ne s'agit pas seulement de respecter la loi. Cela va plus loin. Nous croyons en la création d'un web indépendant et convivial pour les visiteurs des sites web. C'est pourquoi nous avons conçu Simple Analytics sans mécanisme de suivi ni capacité à collecter des données personnelles, tout en vous donnant les informations dont vous avez besoin. Si vous vous sentez concerné, n'hésitez pas à nous essayer.