Bird & Bird : Après Schrems II, les transferts de données personnelles en eaux troubles

L'arrêt "Schrems 2" rendu le 16 juillet 2020 par la Cour de Justice de l’Union Européenne invalide le Privacy Shieldqui permettait le transfert de données personnelles vers les États-Unis et oblige également les responsables de traitement à repenser les transferts de données personnelles et leur encadrement. De son côté, en matière d'hébergements et de transferts de données personnelles de santé, la CNIL se veut plus répressive.
Ariane Mole, Associée & Willy Mikalef, Counsel chez Bird & Bird

L'arrêt "Schrems 2" rendu le 16 juillet 2020 par la Cour de Justice de l’Union Européenne invalide le Privacy Shieldqui permettait le transfert de données personnelles vers les États-Unis et oblige également les responsables de traitement à repenser les transferts de données personnelles et leur encadrement. De son côté, en matière d'hébergements et de transferts de données personnelles de santé, la CNIL se veut plus répressive.

L’actualité de ces 12 derniers mois a apporté de nombreux bouleversements sur le front de l’hébergement et des transferts de données personnelles : décision "Schrems II" de la CJUE au niveau européen, arrêts " Health Data Hub" et "Doctolib" du Conseil d’Etat en France, puis adoption par la Commission Européenne de nouveaux modèles de contrats à utiliser en cas de transferts de données personnelles hors de l’Union Européenne. Il apparait que nous sommes maintenant entrés dans une phase plus répressive, la CNIL ayant annoncé des contrôles en 2021 prioritairement dans le secteur de la santé. D’où la nécessité de bien comprendre les enjeux et d’être vigilants en cas de transmission de données de santé hors de l’U.E ou de recours à un prestataire non européen.  

Tous les problèmes commencent avec l’arrêt Schrems II de la CJUE  

Le 16 juillet 2020, la Cour de Justice de l’Union Européenne a rendu un arrêt retentissant, en jugeant que les transferts de données à caractère personnel vers les Etats-Unis violaient le RGPD et les droits fondamentaux des européens : selon la CJUE, la surveillance opérée par les services de renseignements américains sur les données personnelles des européens est excessive, insuffisamment encadrée, et sans possibilité réelle de recours. La CJUE a donc annulé le "Privacy Shield", un accord international conclu entre la Commission européenne et le Gouvernement Américain sur le transfert des données. De plus, la Cour a jugé que désormais, avant toute transmission de données personnelles vers un pays tiers à l’U.E., il sera nécessaire d’évaluer le risque d’accès par les autorités de surveillance du pays destinataire.  

" Cet arrêt de la CJUE a donc d’importantes répercussions dans tout le secteur de la santé "

Cet arrêt de la CJUE a donc d’importantes répercussions dans tout le secteur de la santé, chaque fois qu’un organisme a besoin de transmettre des données relatives à une personne physique (patient, professionnel de santé, employé…) par exemple dans le cadre d’un essai clinique, ou encore pour recourir aux services d’un prestataire étranger. Compte tenu de l’interprétation extrêmement large de la notion de données à caractère personnel au sens du RGPD, ceci impacte également les données chainées, ou pseudonymisées, c’est-à-dire ne comportant plus le nom des personnes comme dans le cas de la recherche en santé, car ces données restent juridiquement considérées comme étant à caractère personnel. 

Comme la CNIL l’a indiqué sur son site : "Si vous arrivez à la conclusion que, compte tenu des circonstances du transfert et d’éventuelles mesures supplémentaires, le respect de garanties appropriées ne seraient pas assurées, vous êtes tenu de mettre fin au transfert de données personnelles. " 

Le recours aux prestataires américains remis en cause en France 

En France, dans le sillage de l’arrêt Schrems II, deux actions ont été portées devant le Conseil d’Etat concernant le recours à des prestataires américains pour l’hébergement de données : 

Tout d’abord le Health Data Hub a été attaqué pour son recours à la solution Microsoft Azure. L’enjeu portait sur des transferts résiduels dans le cadre de la fourniture du service, et sur le fait que l’hébergeur, même situé dans l’U.E., était américain et donc soumis aux lois de surveillance américaines. Saisie pour avis, la CNIL a considéré que Microsoft serait obligé de transférer les données de santé aux autorités américaines en cas de demande de leur part. La CNIL en a conclu que l’hébergement de données sensibles devrait être réservé à des entités soumises exclusivement au droit de l’U.E. Adoptant une approche moins radicale, le Conseil d’Etat a jugé que le risque d’accès n’entrainait pas de violation du RGPD justifiant la suspension de la plateforme. La haute juridiction a fondé sa décision sur les mesures à la fois contractuelles et techniques mises en place.  

Dans la deuxième affaire, les associations requérantes demandait la suspension du partenariat entre l’Etat et Doctolib, et donc la suspension de la plateforme de gestion des rendez-vous de vaccination contre la COVID-19, en raison de l’hébergement des données par AWS. Bien que le contrat d’hébergement ait été signé avec la filiale européenne du prestataire américain et les données hébergées dans l’U.E., le juge a de nouveau reconnu que les autorités américaines pourraient demander l’accès aux données en raison de la soumission de la maison mère du prestataire au droit américain. Mais le Conseil d’Etat a refusé de suspendre le partenariat compte tenu des garanties à la fois techniques (chiffrement des données reposant sur un tiers de confiance situé en France) et juridiques (insertion dans le contrat d’une procédure encadrant le traitement par AWS des demandes des autorités).  

Quelles solutions ? 

Ces deux affaires ont de fortes implications pour de nombreuses entreprises et organismes des deux côtés de l’Atlantique : Le seul fait de recourir à un sous-traitant dans l'U.E qui est une filiale d'une société américaine, génère un risque auquel il convient de répondre par la mise en place de garanties suffisamment robustes. L’analyse de ces garanties par le Conseil d’Etat révèle qu’il s’agit d’une part de mesures contractuelles, notamment un engagement du prestataire de « résister » autant que possible aux demandes d’accès d’une autorité étrangère. D’autre part, c’est la mise en place de mesures techniques - telles que la pseudonymisation et le chiffrement des données - permettant de rendre théorique le risque d’accès des autorités - qui a convaincu le juge.  

Ces mesures ne peuvent cependant pas être mises en œuvre quand le sous-traitant a besoin d’avoir accès aux données en clair pour fournir ses services, ce qui est un problème pour toutes les entreprises qui se reposent sur des prestataires américains et qui ne trouvent pas d’alternative européenne. La voie qui semble se dessiner est la mise en place par ces prestataires américains d’accords de licence de marque avec des entreprises européennes hors de portée des autorités américaines, qui géreront l’hébergement depuis leur infrastructure et pourront disposer si besoin d’un accès en clair aux données. 

Les entreprises doivent également mettre à jour leur boite à outils juridique sur les transferts : En effet, la Commission européenne a publié le 4 juin 2021 de nouveaux modèles de contrats à utiliser en cas de transferts de données personnelles hors de l’U.E. De son côté le Comité Européen de la Protection des Données (CEPD) a publié la version finale de ses lignes directrices sur les mesures supplémentaires à mettre en place dans le sillage de Schrems II. Les entreprises doivent donc revoir leurs procédures de contractualisation et d’évaluation des transferts, que ce soit à destination des Etats-Unis ou vers d’autres pays extérieurs à l’U.E.  

Sur les auteurs 

Ariane Mole, Associée, Co-Head de la pratique internationale de Protection des données chez Bird & Bird, met au service des entreprises sa très grande expertise à la fois du RGPD et des lois nationales et sectorielles. Son expérience préalable à la CNIL lui permet une connaissance approfondie des autorités de régulation.

Willy Mikalef,Counsel, assiste les entreprises dans l'analyse et la mise en place de leurs plans d’action et outils de conformité au RGPD, et dans la conformité aux exigences en matière de transferts.

 

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

Pirola Pennuto Zei & Associati rejoint l’organisation internationale de cabinets Unyer

Pirola Pennuto Zei & Associati rejoint l’organisation internationale de cabinets Unyer

Unyer étend son réseau de cabinets internationaux à l’Italie en intégrant l’enseigne indépendante Pirola Pennuto Zei & Associati. Le réseau regrou...

Arst Avocats nomme une nouvelle associée

Arst Avocats nomme une nouvelle associée

Pauline Jacquemin Cuny est nommée associée au sein du cabinet Arst Avocats.

Avocats : lancement du réseau Junction

Avocats : lancement du réseau Junction

Hugues de La Forge et Sally El Sawah créent Junction, un réseau non exclusif d’avocats et de cabinets indépendants.

Sylvie Le Damany rejoint Adaltys en tant qu’associée

Sylvie Le Damany rejoint Adaltys en tant qu’associée

Adaltys attire l’avocate Sylvie Le Damany et en fait la septième associée de son bureau parisien. Elle intègre le cabinet avec son collaborateur Marti...

Gouvernance chez Bird & Bird : Emmanuelle Porte remplace Benjamine Fiedler

Gouvernance chez Bird & Bird : Emmanuelle Porte remplace Benjamine Fiedler

L’avocate spécialiste du corporate/M&A dans le secteur des sciences de la vie Emmanuelle Porte devient la co-managing partner des bureaux français...

Kramer Levin lance un département propriété intellectuelle

Kramer Levin lance un département propriété intellectuelle

Avec l’arrivée de l'avocate counsel Mathilde Carle, Kramer Levin équipe son bureau parisien d’une pratique consacrée à la propriété intellectuelle. Re...

Transport routier : le régulateur de la concurrence défend les plateformes numériques

Transport routier : le régulateur de la concurrence défend les plateformes numériques

Le 9 septembre, l'Autorité de la concurrence française (ADLC) a condamné une Bourse de fret, un groupement de transporteurs et des organisations syndi...

Chemarin & Limbour promeut en contentieux commercial

Chemarin & Limbour promeut en contentieux commercial

L’enseigne parisienne Chemarin & Limbour coopte Valentine Foucher-Créteau au rang d’associée au sein de son équipe chargée des contentieux d’affai...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message

Ce site utilise des cookies. En continuant la navigation, vous acceptez nos conditions d'utilisation des cookies.
Plus d'informations

J'accepte