Cloud non-européen et protection des données personnelles, un duo compatible?

En juillet dernier, le jugement Schrems II émis par la Cour de justice de l’Union européenne a invalidé la certification «Privacy Shield» utilisée pour le transfert des données personnelles vers les États-Unis, décrétant ce mécanisme non-conforme au RGPD et a également mis en doute l’utilisation d’autres mécanismes de transfert dans certains contextes. Sans provoquer de vent de panique sur le marché, cette décision remet pourtant en question le recours à des services cloud offerts par des fournisseurs très souvent américains, largement majoritaires sur ce marché. Georges Wantz, Managing Director chez Deloitte Luxembourg, nous aide à mieux cerner les solutions que les entreprises peuvent déployer pour se conformer à la loi.

 

Quels sont les outils fournis par le RGPD pour encadrer le transfert des données vers l’étranger?

Il existe trois grands types d’outils légaux permettant le transfert de données personnelles hors UE. En premier lieu, la Commission européenne analyse régulièrement les cadres légaux des pays étrangers et peut émettre des décisions d’adéquation reconnaissant leur conformité au RGPD et autorisant ainsi les transferts de données vers une liste de pays donnée. En deuxième lieu, les entreprises peuvent recourir à des bases contractuelles dont les plus communes sont les Clauses Contractuelles Types (CCT) – établies par la Commission européenne et auxquelles l’exportateur et l’importateur de données doivent adhérer – ou les «Binding corporate rules» créées par des groupes d’entreprises et approuvées par les autorités de contrôle européennes. Enfin, il existe des exceptions appliquées ponctuellement et de manière limitée comme dans le cadre de l’exécution d’un contrat où les banques peuvent transférer les données nécessaires à l’exécution d’un virement exceptionnel à l’étranger.

 

Qu’implique le jugement Schrems II rendu par la Cour de justice de l’Union européenne (CJUE) en juillet 2020?

Ce jugement a remis en cause la décision d’adéquation prise par la Commission européenne envers les États-Unis dans le contexte «Privacy Shield». D’abord désigné sous le nom de «Safe Harbor», ce mécanisme permettait aux entreprises européennes de transférer des données personnelles de manière sécurisée vers les États-Unis, avant même le déploiement du RGPD. Toutefois, lors de son premier jugement, remis à la suite d’une plainte déposée par le citoyen autrichien Maximillian Schrems, la CJUE a décrété ce mécanisme insuffisant dans sa forme, puisque sa décision d’adéquation n’était basée sur aucun cadre clairement défini.

La Commission a alors déployé un nouveau mécanisme, le «Privacy Shield», mieux documenté. Toutefois, Maximillian Schrems a à nouveau porté plainte pour non-respect du RGPD quant au transfert de données personnelles vers les USA. Les juges ont alors rendu le «Privacy Shield» caduc sur base de son contenu, révélé insuffisant non seulement du point de vue du RGPD mais aussi des droits fondamentaux européens. Les juges ont également spécifié que tout mécanisme de transfert basé sur des contrats (comme les Clauses Contractuelles Types) doit offrir le même niveau de protection que le RGPD et les droits fondamentaux européens. Or, les lois états-uniennes permettent aux renseignements nationaux de consulter tous types de données s’ils le jugent nécessaire pour des raisons de sécurité nationale, et ce, d’une manière non-conforme aux dispositions européennes. En tant que citoyens, nous n’aurions donc aucun moyen de faire valoir nos droits au regard de la loi américaine.

Décrétant que les CCT peuvent être insuffisantes lors de transferts établis avec les États-Unis, la CJUE a imposé l’ajout de garanties supplémentaires, sans toutefois préciser lesquelles… Si de telles garanties sont nécessaires et ne peuvent être émises, alors le traitement des données devra tout bonnement être arrêté.

 

Comme la plupart des fournisseurs de services cloud sont basés aux États-Unis, quel sera l’impact de ce jugement sur ces services?

Il convient d’abord de définir ce qu’est un transfert. A partir du moment où les données sont rendues accessibles depuis un pays hors Communauté européenne, alors on considère qu’il y a transfert. Les services cloud sont donc effectivement concernés par ce jugement. Par ailleurs, la responsabilité du traitement non-conforme des données sera imputée à l’entreprise effectivement responsable des données et non au fournisseur de services cloud, qui n’est qu’un sous-traitant.

Aujourd’hui, aucune pénalité financière n’a encore été émise par les régulateurs qui se contentent pour l’instant d’expliquer le problème et de conseiller aux entités d’arrêter cette pratique. Certaines entreprises n’ont donc pas encore mesuré les conséquences du jugement. D’autres, n’y voyant pas de solution, ne comptent pas se pencher sur la question tant que le reste du marché ne s’y conformera pas. Plus rares sont les sociétés ayant pris des mesures telles que l’arrêt du contrat avec leur fournisseur américain ou la recherche d’une solution européenne. Le risque est que les bons élèves ne dénoncent les mauvais en portant plainte pour concurrence déloyale ou qu’une personne concernée ne porte plainte auprès d’un régulateur. Ce dernier n’aura alors plus d’autre choix que de sanctionner par des amendes, mais également de prononcer l’arrêt immédiat du traitement qui pourrait occasionner des pertes financières encore plus importantes.

Certains imaginent sans doute que la Commission européenne pourrait trouver un nouvel accord avec les États-Unis dans le but de faciliter ces échanges. Or, le seul moyen d’y parvenir serait que le législateur américain change les lois pour garantir la protection des données comme nous l’entendons en Europe. De plus, la Commission pourra difficilement se permettre un troisième jugement dûment remis en cause sans souffrir d’une perte de crédibilité… Cela semble donc peu probable. Quant aux fournisseurs américains, ils ne chercheront pas de solutions techniques ou organisationnelles tant que les entreprises européennes continueront à faire appel à leurs services et ne feront pas front commun pour exercer une plus grande pression sur ces «cloud providers».

 

Quels sont vos conseils pour aider les entreprises à se conformer à ce jugement? 

Entre la difficulté de la tâche et l’absence actuelle de sanction, la plupart des entreprises ne semblent pas encore chercher activement de solution. Pourtant, le risque est bien réel. C’est pourquoi notre premier conseil serait d’analyser le traitement et de déterminer si le mécanisme utilisé pour permettre le transfert nécessite l’ajout de ces garanties supplémentaires demandées par la CJUE, afin de prendre conscience du risque encouru. Il faut ensuite qu’elles recherchent des garanties supplémentaires envisageables, les mettent en place et dans le pire des cas, cherchent des alternatives exclusivement européennes.

Ces garanties supplémentaires pourraient être la pseudonymisation  ou le cryptage des données avec une clé dont ne disposerait pas le fournisseur cloud et qui les rendraient inexploitables par les autorités étrangères. Ces mécanismes sont encore peu répandus, assez difficiles à mettre en place et ne sont pas toujours utiles, tout en gardant la totalité des fonctionnalités du service. Malheureusement, la solution miracle n’existe pas. Ce n’est toutefois pas en ignorant cette problématique qu’elle disparaitra…