Bird & Bird : Après Schrems 2, les transferts de données personnelles en eaux troubles

L’actualité de ces douze derniers mois a apporté de nombreux bouleversements sur le front de l’hébergement et des transferts de données personnelles : décision Schrems 2 de la CJUE au niveau européen, arrêts Health Data Hub et Doctolib du Conseil d’État en France, puis adoption par la Commission européenne de nouveaux modèles de contrats à utiliser en cas de transferts de données personnelles hors de l’Union européenne. Il apparaît que nous sommes maintenant entrés dans une phase plus répressive, la Cnil ayant annoncé des contrôles en 2021 prioritairement dans le secteur de la santé. D’où la nécessité de bien comprendre les enjeux et d’être vigilants en cas de transmission de données de santé hors de l’Union européenne ou de recours à un prestataire non européen.  

Tous les problèmes commencent avec l’arrêt Schrems 2 de la CJUE  

Le 16 juillet 2020, la Cour de Justice de l’Union européenne a rendu un arrêt retentissant, en jugeant que les transferts de données à caractère personnel vers les États-Unis violaient le RGPD et les droits fondamentaux des Européens : selon la CJUE, la surveillance opérée par les services de renseignements américains sur les données personnelles des Européens est excessive, insuffisamment encadrée, et sans possibilité réelle de recours. La CJUE a donc annulé le Privacy Shield, un accord international conclu entre la Commission européenne et le gouvernement américain, sur le transfert des données. De plus, la Cour a jugé que désormais, avant toute transmission de données personnelles vers un pays tiers à l’UE, il sera nécessaire d’évaluer le risque d’accès par les autorités de surveillance du pays destinataire.  

" Cet arrêt de la CJUE a donc d’importantes répercussions dans tout le secteur de la santé "

Cet arrêt de la CJUE a donc d’importantes répercussions dans tout le secteur de la santé, chaque fois qu’un organisme a besoin de transmettre des données relatives à une personne physique (patient, professionnel de santé, employé…) par exemple dans le cadre d’un essai clinique, ou encore pour recourir aux services d’un prestataire étranger. Compte tenu de l’interprétation extrêmement large de la notion de données à caractère personnel au sens du RGPD, ceci impacte également les données chaînées, ou pseudonymisées, c’est-à-dire ne comportant plus le nom des personnes comme dans le cas de la recherche en santé, car ces données restent juridiquement considérées comme étant à caractère personnel. 

Comme la Cnil l’a indiqué sur son site : "Si vous arrivez à la conclusion que, compte tenu des circonstances du transfert et d’éventuelles mesures supplémentaires, le respect de garanties appropriées ne serait pas assuré, vous êtes tenu de mettre fin au transfert de données personnelles. " 

Le recours aux prestataires américains remis en cause en France 

En France, dans le sillage de l’arrêt Schrems 2, deux actions ont été portées devant le Conseil d’État concernant le recours à des prestataires américains pour l’hébergement de données : 

Tout d’abord le Health Data Hub a été attaqué pour son recours à la solution Microsoft Azure. L’enjeu portait sur des transferts résiduels dans le cadre de la fourniture du service, et sur le fait que l’hébergeur, même situé dans l’U.E., était américain et donc soumis aux lois de surveillance américaines. Saisie pour avis, la Cnil a considéré que Microsoft serait obligé de transférer les données de santé aux autorités américaines en cas de demande de leur part. La Cnil en a conclu que l’hébergement de données sensibles devrait être réservé à des entités soumises exclusivement au droit de l’U.E. Adoptant une approche moins radicale, le Conseil d’État a jugé que le risque d’accès n’entraînait pas de violation du RGPD justifiant la suspension de la plateforme. La haute juridiction a fondé sa décision sur les mesures à la fois contractuelles et techniques mises en place.  

Dans la deuxième affaire, les associations requérantes demandaient la suspension du partenariat entre l’État et Doctolib, et donc la suspension de la plateforme de gestion des rendez-vous de vaccination contre la Covid-19, en raison de l’hébergement des données par AWS. Bien que le contrat d’hébergement ait été signé avec la filiale européenne du prestataire américain et les données hébergées dans l’U.E., le juge a de nouveau reconnu que les autorités américaines pourraient demander l’accès aux données en raison de la soumission de la maison mère du prestataire au droit américain. Mais le Conseil d’État a refusé de suspendre le partenariat compte tenu des garanties à la fois techniques (chiffrement des données reposant sur un tiers de confiance situé en France) et juridiques (insertion dans le contrat d’une procédure encadrant le traitement par AWS des demandes des autorités).  

Quelles solutions ? 

Ces deux affaires ont de fortes implications pour de nombreuses entreprises et organismes des deux côtés de l’Atlantique : le seul fait de recourir à un sous-traitant dans l'U.E. qui est une filiale d'une société américaine génère un risque auquel il convient de répondre par la mise en place de garanties suffisamment robustes. L’analyse de ces garanties par le Conseil d’État révèle qu’il s’agit d’une part de mesures contractuelles, notamment un engagement du prestataire de "résister" autant que possible aux demandes d’accès d’une autorité étrangère. D’autre part, c’est la mise en place de mesures techniques - telles que la pseudonymisation et le chiffrement des données - permettant de rendre théorique le risque d’accès des autorités qui a convaincu le juge.  

Ces mesures ne peuvent cependant pas être mises en œuvre quand le sous-traitant a besoin d’avoir accès aux données en clair pour fournir ses services, ce qui est un problème pour toutes les entreprises qui se reposent sur des prestataires américains et qui ne trouvent pas d’alternative européenne. La voie qui semble se dessiner est la mise en place par ces prestataires américains d’accords de licence de marque avec des entreprises européennes hors de portée des autorités américaines, qui géreront l’hébergement depuis leur infrastructure et pourront disposer, si besoin, d’un accès en clair aux données. 

Les entreprises doivent également mettre à jour leur boîte à outils juridique sur les transferts : en effet, la Commission européenne a publié le 4 juin 2021 de nouveaux modèles de contrat à utiliser en cas de transferts de données personnelles hors de l’U.E. De son côté, le Comité européen de la protection des données (CEPD) a publié la version finale de ses lignes directrices sur les mesures supplémentaires à mettre en place dans le sillage de Schrems 2. Les entreprises doivent donc revoir leurs procédures de contractualisation et d’évaluation des transferts, que ce soit à destination des États-Unis ou vers d’autres pays extérieurs à l’U.E.  

Sur les auteurs 

Ariane Mole, associée, co-head de la pratique internationale de protection des données chez Bird & Bird, met au service des entreprises sa très grande expertise à la fois du RGPD et des lois nationales et sectorielles. Son expérience préalable à la Cnil lui permet d'avoir une connaissance approfondie des autorités de régulation.

Willy Mikalef, counsel, assiste les entreprises dans l'analyse et la mise en place de leurs plans d’action et outils de conformité au RGPD, et dans la conformité aux exigences en matière de transferts.