En ce moment

Le casse-tête des transferts internationaux des données privées

Posté le 2 juillet 2021
par Philippe RICHARD
dans Informatique et Numérique

Le Comité européen de la protection des données (CEPD) a lancé une enquête sur l'utilisation des services dans le cloud fournis par Amazon et Microsoft. Parallèlement, de nouvelles « Clauses contractuelles types » (CCT) sont censées clarifier les transferts internationaux (et en particulier vers les UDSA) de données personnelles. Cette problématique des transferts est un nouveau bras de fer entre l’Europe et les États-Unis.

Toutes les entreprises font face à un dilemme. D’un côté, elles constatent que l’exploitation des données crée de la valeur. D’un autre côté, elles sont de plus en plus convaincues que la protection des données à caractère personnel, « c’est bon pour le business ».

Mais comment concilier les deux lorsqu’on utilise de plus en plus de solutions numériques et le cloud qui sont majoritairement détenus par des entreprises de droit américain ? Celles-ci sont en effet tenues de respecter différentes lois des États-Unis et en particulier le Cloud Act. Promulgué en 2018, il permet de « fouiller » dans les données hébergées dans les serveurs d’autres pays, au nom de la protection de la sécurité publique.

De plus en plus d’entreprises et d’instances officielles s’en inquiètent. D’où les deux enquêtes lancées par le Contrôleur. « Suite aux résultats de l’exercice de notification par les institutions et organes de l’UE, nous avons identifié certains types de contrats qui nécessitent une attention particulière, et c’est pourquoi nous avons décidé de lancer ces deux enquêtes », a déclaré Wojciech Wiewiórowski, le Contrôleur.

L’objectif de la première enquête est d’évaluer la conformité des institutions, organes et agences de l’Union européenne avec l’arrêt « Schrems II » (rendu le 16 juillet 2020) lors de l’utilisation du cloud d’Amazon et de Microsoft, lorsque les données sont transférées vers des pays non-membres de l’UE, en particulier vers les États-Unis. La seconde enquête porte sur l’utilisation de Microsoft Office 365 et là aussi sur les transferts de données outre-Atlantique.

Lois sur le renseignement

« Avec l’arrêt « Schrems I » de 2015, la Cour de justice de l’Union européenne (CJUE) constatait que les États-Unis n’apportaient pas de protection suffisante et équivalente au droit européen concernant les transferts de données personnelles des citoyens européens. La CJUE avait donc invité la Commission européenne à revoir sa copie. Avec « Schrems II », elle constate notamment que les Clauses contractuelles types (CCT) – lorsqu’elles sont intégrées dans les contrats des GAFAM – n’apportent pas toujours de protection suffisante. Ce qui pose problème aujourd’hui, c’est le lien entre les garanties contractuelles et le droit du pays destinataire des données. L’enjeu est de savoir si le droit du pays de l’importateur (les USA en l’occurrence, NDLR) permet aux entreprises de respecter leurs obligations contractuelles de protection des données, compte tenu de la possibilité pour les services de renseignement américains d’avoir accès aux données qu’elles détiennent. Aujourd’hui, les avocats et DPO constatent qu’il y a un transfert de risque vers les responsables de traitement, c’est-à-dire les acteurs qui mettent en place les traitements (entreprises européennes). « Les autorités passent la patate chaude aux acteurs », explique maître France Charruyer, avocate expert en Data protection et cofondatrice du cabinet d’avocats ALTIJ à Toulouse.

Cette problématique de transferts internationaux des données ne concerne pas que les instances européennes. Une majeure partie des entreprises utilisent aujourd’hui des logiciels et infrastructures d’acteurs américains comme Amazon et Microsoft.

« C’est un casse-tête pour de nombreuses entreprises et en particulier pour des PME qui n’ont pas nécessairement les compétences ni les moyens pour faire des analyses des lois de surveillance des pays tiers et des analyses de risques avant toute signature de contrat. Une analyse des lois de surveillance peut s’élever à 250 000 dollars rien que pour le droit américain, selon l’association Renaissance numérique. Il conviendrait de mutualiser ces analyses de la règlementation étrangère et nous militons pour ça au sein de plusieurs associations, afin de permettre aux PME de bénéficier elles aussi de la chaîne de valeur de la data », détaille maître France Charruyer.

Or, les pouvoirs de négociation des entreprises face aux GAFAM sont extrêmement faibles. Dans une résolution du 20 mai 2021, à propos de l’arrêt « Schrems II », le Parlement soulignait que « les PME européennes, ainsi que les organisations et associations à but non lucratif, disposent d’un pouvoir de négociation et de capacités juridiques et financières limités, alors qu’on attend d’elles qu’elles évaluent en autonomie l’adéquation de la protection des données dans des pays tiers, ce qui implique d’appréhender les cadres juridiques complexes de divers pays tiers ».

Bras de fer

Ces deux enquêtes du Contrôleur interviennent au moment où de nouvelles Clauses contractuelles types (CCT), relatives au transfert de données vers un pays tiers, sont adoptées par la Commission européenne. Elles détaillent les grands principes à respecter en matière de protection des données personnelles telles que le prévoit le RGPD.

Dans un communiqué, les membres de l’Association française des correspondants à la protection des données à caractère personnel (AFCDP) « restent frustrés par ces clauses contractuelles de la Commission européenne, et inquiets des conséquences de l’adoption de ces CCT pour assurer la protection des données transmises à des partenaires étrangers, en particulier américains ».

Selon ces spécialistes, ces nouvelles CCT « passent entièrement sous silence le fond du problème : alors que c’est bien la surveillance étatique des États-Unis qui a conduit à l’invalidation du « Privacy Shield », ce point n’est pas traité dans les CCT ».

« Nous assistons à un bras de fer entre un marché de 400 millions de personnes, que représente l’Europe, et les États-Unis, constate France Charruyer. Ce sont des enjeux de souveraineté et d’extraterritorialité. Les GAFAM sont là pour faire du business et ils sont dans une logique qui est complètement différente à la nôtre au niveau de l’appréhension du droit. Ils sont sur des logiques « d’auto-conformité » (« auto-compliance » en anglais). Les Européens sont sur des logiques de régulation. C’est devenu une affaire politique ».


Pour aller plus loin