Vous utilisez un logiciel américain dans le cadre de vos activités ? Alors vous êtes concerné par les transferts de données personnelles à l’étranger. Et ce transfert est potentiellement de nature à faire peser un risque sur votre conformité RGPD même si vous avez choisi d’héberger vos données sur des serveurs en Europe.
L’objet de cet article est d’apporter des clés de lecture sur l’état du droit en la matière et des réponses claires.
Pourquoi les transferts de données personnelles concernent toutes les entreprises ?
Pour sa gestion quotidienne, il y a de fortes chances pour que votre structure fasse appel à des sous-traitants. Il peut s’agir d’un navigateur web (par exemple Google Chrome), d’un système d’exploitation (par exemple IOs, Microsoft), d’une solution SaaS (par exemple Payfit, Mailchimp, Google Analytics) ou encore d’un hébergeur (par exemple AWS).
Pour un rapide rappel des définitions (article 4 RGPD):
- Le sous-traitant, est la personne ou l’organisme qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement (souvent d’un prestataire de services).
- Le responsable de traitement est la personne qui détermine la finalité et les moyens du traitement de la donnée personnelle.
💡 Par exemple : une entreprise A proposant un service d’envoi de newsletters utilise le fichier clients mis à sa disposition par l’entreprise B. L’entreprise A est le sous-traitant de l’entreprise B, responsable de traitement.
En pratique, le responsable de traitement fait appel à plusieurs sous-traitants qui font eux-mêmes appel à des sous-traitants en cascade si bien que les transferts de données personnelles sont quasiment inévitables.
Mais une difficulté s’ajoute lorsque le sous-traitant est d’origine américaine, ce qui est souvent le cas.
Pourquoi existe-t-il un sujet concernant les sous-traitants US ?
Mécanismes de transfert hors UE prévus par le RGPD
Dans la mesure où le responsable de traitement transfert des données personnelles à son sous-traitant, celui-ci doit naturellement présenter des garanties relatives à la protection des données personnelles (article 28 RGPD) même lorsqu’ils se trouvent en dehors de l’UE (article 44 RGPD).
Il est prévu que la Commission européenne se charge de vérifier elle-même la compatibilité de la législation de l’Etat hors UE avec la législation européenne par des “décisions d’adéquation” (article 45 RGPD). Par exemple, la Commission européenne a déjà adopté des décisions de ce type pour l’Andorre, l’Argentine, le Canada, l'Angleterre, la Suisse, Israël, la Nouvelle-Zélande et l’Uruguay.
La protection des données aux Etats-Unis vs. RGPD
En ce qui concerne les Etats-Unis, la Commission européenne a penché pour un accord bilatéral faisant office de décision d’adéquation avec :
- En premier lieu, le Safe Harbor qui fut invalidé par la Cour de justice de l’Union européenne (CJUE) en 2015 par l’arrêt Schrems I.
- Puis remplacé par le Privacy Shield (2016) également invalidé par la Cour de justice par l’arrêt Schrems II du 16 juillet 2020.
En 2020, comme en 2015, la Cour de justice a constaté un niveau de protection des données personnelles trop faible mis en place par le gouvernement américain.
En effet, la législation américaine autorise les services de renseignements à avoir accès à toutes les données conservées par une entreprise en vertu du Cloud Act et du Foreign Intelligence Surveillance Act (Fisa). Et le stockage des données sur le territoire d’un pays de l’Union européenne ne permet pas à une entreprise américaine de s’opposer à une demande des renseignements en raison de l’extraterritorialité des lois américaines.
Pour rappel, en l’absence de décision d’adéquation, tout transfert de données hors UE n’est pas interdit par principe puisque le RGPD prévoit plusieurs mécanismes de substitution :
- Les clauses contractuelles types (CCT) ou Standard Contractual Clauses(SCC) (article 46§2 c et d RGPD) qui sont des clauses à intégrer dans le contrat avec un sous-traitant pour encadrer les transferts de données.
- Les règles d'entreprise contraignantes (REC) ou Binding Corporate Rules (BCR) (article 47 RGPD) permettant aux multinationales implantées en Europe et en dehors, de fixer une politique de protection des données.
Ces clauses ont pour objet d’engager le sous-traitant ou la filiale hors UE à garantir un niveau de protection de données personnelles suffisant au regard du RGPD.
Si ces mécanismes sont destinés à pallier l’absence de décision d’adéquation, ils ne sont d’aucune utilité dans le cas des Etats-Unis car la possibilité pour les renseignements d’avoir accès à toutes les données conservées par les entreprises prime très largement sur ces clauses.
Depuis la remise en question du Privacy Schield en 2020, un nouvel accord entre les Etats-Unis et l’Union Européenne peine à émerger dans la mesure où le Cloud Act semble barrer la route à toute adéquation de législation.
Transferts de données vers les Etats-Unis : un nouvel accord voit le jour
L'autorisation de transfert des données entre l'Union européenne et les Etats-Unis n'a pas été un long fleuve tranquille. Au contraire, c’est une chronique qui dure depuis plusieurs années : les mécanismes de transferts de données entre l’UE et les Etats-Unis ont successivement été annulés par la Cour de justice de l’Union européenne en 2015 et 2020 car le droit US ne garantissait pas un système de protection des données personnelles suffisant.
Pour venir à la rescousse des milliers d’entreprises qui ont été privées d’outils tels que AWS, Google ou Microsoft à défaut se faire taper sur les doigts par la CNIL, les Etats-Unis ont publié un Executive Order en octobre dernier prévoyant de meilleures garanties :
- Des limites dans l’accès des données des européens par les renseignements US, notamment, en dehors de cas spécifiques à la lutte antiterroriste, l'accès est limité à ce qui est "nécessaire et proportionnée".
- La possibilité de former un recours auprès du “Civil Liberties Protection Officer” en cas de préjudice, sans distinction de nationalité (donc y compris pour les européens).
Précision que l'accès par les renseignements américains aux données des européens reste possible mais à des conditions plus restreintes. En dépit de cet élément, une décision d'adéquation est entrée en vigueur le 10 juillet 2023.
Cependant, la Commission européenne valide ce nouveau système sous condition :
- Le prestataire doit se trouver dans la du site du Département du Commerce des Etats-Unis ! On retrouve par exemple Amazon, Google, Microsoft, Stripe, Hubspot, Mailchimp (mais pas Notion.. yet!).
- Malheureusement, si votre outil ne se trouve pas sur cette liste, l’ancien modèle prévaut et il faut avoir recours aux clauses contractuelles types (CCT) et autres mécanismes de transferts hors UE.
Une question subsiste : Peut-on vraiment se fier à cette décision en dépit des 2 précédentes annulations par la Cour ? Difficile à dire au regard des critiques de ce nouveau système, notamment par Monsieur Schrem (l’avocat à l’origine de ces jurisprudences) qui a d’ores et déjà annoncé qu’il contesterait cette nouvelle décision d’adéquation devant la Cour de justice de l’UE. Affaire à suivre donc … 👀
Comment transférer des données personnelles vers les Etats-Unis ?
Option n°1
Consulter la liste des entreprises bénéficiant d'une adéquation sur le site du Département du Commerce des Etats-Unis.
→ Si l'entreprises avec laquelle vous souhaitez vous associer s'y trouve, les transferts de données personnelles vers cette entreprises sont assurées sans qu'il soit nécessaire de prévoir des clauses particulières ou des mesures de sécurité supplémentaires.
Option n°2
Si l'entreprises avec laquelle vous souhaitez vous associer ne se trouve pas dans cette liste, alors il convient de recourir aux mécanismes de transfert de données classiques.
1 - Les mécanismes juridiques
Les Clauses Contractuelles Types (CCT) ou Standard Contractual Clauses (SCC) : ce sont des modèles de contrats pour le transfert de données personnelles adoptés par la Commission européenne. Cependant, il incombe aux parties impliquées de vérifier que la législation du pays destinataire respecte les exigences de l'UE. Des mesures supplémentaires peuvent être requises si ce n'est pas le cas.
Les Règles internes d’entreprises (REC) ou Binding Corporate Rules (BCR) : ces règles permettent aux groupes d'entreprises de formaliser légalement leurs transferts de données hors de l'UE. Elles offrent également un moyen de mettre en conformité l'ensemble du groupe avec les normes de l'UE.
Code de conduite : cet outil de conformité est juridiquement contraignant pour ceux qui y adhèrent. Il est généralement développé par des associations ou des fédérations représentant des groupes spécifiques d'entités traitant les données.
2 - Les mécanismes opérationnels
Souvent, l’importateur, donc l’entreprise qui est destinataire du transfert de données hors UE, a le statut de sous-traitant au sein de l’opération. Cela signifie qu’un contrat obligatoirement lie l’exportateur et l’importateur.
Ce contrat est souvent appelé data processing agreement (DPA), c’est le contrat avec le sous-traitant (article 28 RGPD). C’est ce contrat qui doit contenir des mesures de protection renforcée des données personnelles : par la reprise des clauses contractuelles types (CCT) (vu ci-dessus) ainsi qu’un certain nombre de garantis supplémentaires.
Par exemple, le contrat peut prévoir les mesures suivantes :
- le format des données à transférer : les données sont anonymisées ou pseudonymisée, chiffrées ou cryptées avant l’exportation.
- la durée de conservation des données : les données sont conservées peu de temps par l’exportateur (par exemple 3 mois) ;
- Minimiser la collecte de données ;
- Anonymiser les adresses IP ;
- Limiter le transfert de données sensibles ;
- La mise en place d’un dispositif de chiffrement.
En cas de doute sur la conformité de votre sous-traitant au RGPD, il convient d’analyser le data processing agreement (DPA) ou accord de traitement des données. Ce document reprend les engagements de vos sous-traitants et les fameuses CCT ou REC.
C’est ce document qui vous sera demandé en cas de contrôle par les autorités françaises.
Pour plus d’accompagnement dans votre conformité RGPD, n’hésitez pas à demander une démo de notre solution 💁🏻♀️ !
Des interrogations subsistent sur votre conformité RGPD ? Le logiciel RGPD Leto vous accompagne à chaque étape. Réserver une démo avec nos experts.