Bird & Bird : Après Schrems 2, les transferts de données personnelles en eaux troubles

L'arrêt Schrems 2 rendu le 16 juillet 2020 par la Cour de Justice de l’Union européenne invalide le Privacy Shield qui permettait le transfert de données personnelles vers les États-Unis et oblige également les responsables de traitement à repenser les transferts de données personnelles et leur encadrement. De son côté, en matière d'hébergements et de transferts de données personnelles de santé, la Cnil se veut plus répressive.
Ariane Mole, Associée & Willy Mikalef, Counsel chez Bird & Bird

L'arrêt Schrems 2 rendu le 16 juillet 2020 par la Cour de Justice de l’Union européenne invalide le Privacy Shield qui permettait le transfert de données personnelles vers les États-Unis et oblige également les responsables de traitement à repenser les transferts de données personnelles et leur encadrement. De son côté, en matière d'hébergements et de transferts de données personnelles de santé, la Cnil se veut plus répressive.

L’actualité de ces douze derniers mois a apporté de nombreux bouleversements sur le front de l’hébergement et des transferts de données personnelles : décision Schrems 2 de la CJUE au niveau européen, arrêts Health Data Hub et Doctolib du Conseil d’État en France, puis adoption par la Commission européenne de nouveaux modèles de contrats à utiliser en cas de transferts de données personnelles hors de l’Union européenne. Il apparaît que nous sommes maintenant entrés dans une phase plus répressive, la Cnil ayant annoncé des contrôles en 2021 prioritairement dans le secteur de la santé. D’où la nécessité de bien comprendre les enjeux et d’être vigilants en cas de transmission de données de santé hors de l’Union européenne ou de recours à un prestataire non européen.  

Tous les problèmes commencent avec l’arrêt Schrems 2 de la CJUE  

Le 16 juillet 2020, la Cour de Justice de l’Union européenne a rendu un arrêt retentissant, en jugeant que les transferts de données à caractère personnel vers les États-Unis violaient le RGPD et les droits fondamentaux des Européens : selon la CJUE, la surveillance opérée par les services de renseignements américains sur les données personnelles des Européens est excessive, insuffisamment encadrée, et sans possibilité réelle de recours. La CJUE a donc annulé le Privacy Shield, un accord international conclu entre la Commission européenne et le gouvernement américain, sur le transfert des données. De plus, la Cour a jugé que désormais, avant toute transmission de données personnelles vers un pays tiers à l’UE, il sera nécessaire d’évaluer le risque d’accès par les autorités de surveillance du pays destinataire.  

" Cet arrêt de la CJUE a donc d’importantes répercussions dans tout le secteur de la santé "

Cet arrêt de la CJUE a donc d’importantes répercussions dans tout le secteur de la santé, chaque fois qu’un organisme a besoin de transmettre des données relatives à une personne physique (patient, professionnel de santé, employé…) par exemple dans le cadre d’un essai clinique, ou encore pour recourir aux services d’un prestataire étranger. Compte tenu de l’interprétation extrêmement large de la notion de données à caractère personnel au sens du RGPD, ceci impacte également les données chaînées, ou pseudonymisées, c’est-à-dire ne comportant plus le nom des personnes comme dans le cas de la recherche en santé, car ces données restent juridiquement considérées comme étant à caractère personnel. 

Comme la Cnil l’a indiqué sur son site : "Si vous arrivez à la conclusion que, compte tenu des circonstances du transfert et d’éventuelles mesures supplémentaires, le respect de garanties appropriées ne serait pas assuré, vous êtes tenu de mettre fin au transfert de données personnelles. " 

Le recours aux prestataires américains remis en cause en France 

En France, dans le sillage de l’arrêt Schrems 2, deux actions ont été portées devant le Conseil d’État concernant le recours à des prestataires américains pour l’hébergement de données : 

Tout d’abord le Health Data Hub a été attaqué pour son recours à la solution Microsoft Azure. L’enjeu portait sur des transferts résiduels dans le cadre de la fourniture du service, et sur le fait que l’hébergeur, même situé dans l’U.E., était américain et donc soumis aux lois de surveillance américaines. Saisie pour avis, la Cnil a considéré que Microsoft serait obligé de transférer les données de santé aux autorités américaines en cas de demande de leur part. La Cnil en a conclu que l’hébergement de données sensibles devrait être réservé à des entités soumises exclusivement au droit de l’U.E. Adoptant une approche moins radicale, le Conseil d’État a jugé que le risque d’accès n’entraînait pas de violation du RGPD justifiant la suspension de la plateforme. La haute juridiction a fondé sa décision sur les mesures à la fois contractuelles et techniques mises en place.  

Dans la deuxième affaire, les associations requérantes demandaient la suspension du partenariat entre l’État et Doctolib, et donc la suspension de la plateforme de gestion des rendez-vous de vaccination contre la Covid-19, en raison de l’hébergement des données par AWS. Bien que le contrat d’hébergement ait été signé avec la filiale européenne du prestataire américain et les données hébergées dans l’U.E., le juge a de nouveau reconnu que les autorités américaines pourraient demander l’accès aux données en raison de la soumission de la maison mère du prestataire au droit américain. Mais le Conseil d’État a refusé de suspendre le partenariat compte tenu des garanties à la fois techniques (chiffrement des données reposant sur un tiers de confiance situé en France) et juridiques (insertion dans le contrat d’une procédure encadrant le traitement par AWS des demandes des autorités).  

Quelles solutions ? 

Ces deux affaires ont de fortes implications pour de nombreuses entreprises et organismes des deux côtés de l’Atlantique : le seul fait de recourir à un sous-traitant dans l'U.E. qui est une filiale d'une société américaine génère un risque auquel il convient de répondre par la mise en place de garanties suffisamment robustes. L’analyse de ces garanties par le Conseil d’État révèle qu’il s’agit d’une part de mesures contractuelles, notamment un engagement du prestataire de "résister" autant que possible aux demandes d’accès d’une autorité étrangère. D’autre part, c’est la mise en place de mesures techniques - telles que la pseudonymisation et le chiffrement des données - permettant de rendre théorique le risque d’accès des autorités qui a convaincu le juge.  

Ces mesures ne peuvent cependant pas être mises en œuvre quand le sous-traitant a besoin d’avoir accès aux données en clair pour fournir ses services, ce qui est un problème pour toutes les entreprises qui se reposent sur des prestataires américains et qui ne trouvent pas d’alternative européenne. La voie qui semble se dessiner est la mise en place par ces prestataires américains d’accords de licence de marque avec des entreprises européennes hors de portée des autorités américaines, qui géreront l’hébergement depuis leur infrastructure et pourront disposer, si besoin, d’un accès en clair aux données. 

Les entreprises doivent également mettre à jour leur boîte à outils juridique sur les transferts : en effet, la Commission européenne a publié le 4 juin 2021 de nouveaux modèles de contrat à utiliser en cas de transferts de données personnelles hors de l’U.E. De son côté, le Comité européen de la protection des données (CEPD) a publié la version finale de ses lignes directrices sur les mesures supplémentaires à mettre en place dans le sillage de Schrems 2. Les entreprises doivent donc revoir leurs procédures de contractualisation et d’évaluation des transferts, que ce soit à destination des États-Unis ou vers d’autres pays extérieurs à l’U.E.  

Sur les auteurs 

Ariane Mole, associée, co-head de la pratique internationale de protection des données chez Bird & Bird, met au service des entreprises sa très grande expertise à la fois du RGPD et des lois nationales et sectorielles. Son expérience préalable à la Cnil lui permet d'avoir une connaissance approfondie des autorités de régulation.

Willy Mikalef, counsel, assiste les entreprises dans l'analyse et la mise en place de leurs plans d’action et outils de conformité au RGPD, et dans la conformité aux exigences en matière de transferts.

 

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

retrouvez l'intégralité du dossier Guide Santé, Pharmacie & biotechnologies 2021

Retrouvez notre dossier issu du guide-annuaire Santé, pharmacie et biotechnologies 2021.
Sommaire
Face à l’extraterritorialité des sanctions étrangères, le réveil de l’Europe

Face à l’extraterritorialité des sanctions étrangères, le réveil de l’Europe

Moins naïve, l’Union européenne ? Il faut croire. En renforçant son arsenal juridique et en tricotant des textes qui s’appliqueront à des sociétés de...

Chammas & Marcheteau coopte une associée en droit social

Chammas & Marcheteau coopte une associée en droit social

Coline Bied-Charreton est élevée au rang d’associée chez Chammas & Marcheteau où elle exerce depuis 2020. Elle traite des dossiers de droit social...

Squair ouvre un bureau à Aix-en-Provence

Squair ouvre un bureau à Aix-en-Provence

Paris, Nantes, Bordeaux, Lyon et désormais Aix-en-Provence. Le cabinet d’avocats Squair continue son expansion en région et ouvre son tout nouveau bur...

Olivier Wild (Amrae) : "Il faut prendre des risques pour avancer"

Olivier Wild (Amrae) : "Il faut prendre des risques pour avancer"

Les dernières années ont été riches en événements pour les risk managers : Covid, catastrophes naturelles, cyber-attaques, instabilité politique… Oliv...

Y. Pariset (Fluence) : "Notre rôle est de rendre limpides les situations complexes"

Y. Pariset (Fluence) : "Notre rôle est de rendre limpides les situations complexes"

Fondée par six associés issus de la banque privée et de la gestion d’actifs, Fluence Family Office conseille ses clients en toute indépendance, en app...

L’essor de l'assurtech, vers l’infini et au-delà ?

L’essor de l'assurtech, vers l’infini et au-delà ?

Acheel, Stoïk, Ornikar, Qiti, Luko, Bifröst… Qui sont ces start-up de l'assurtech qui bousculent le monde de l’assurance ? Après une émergence rapide,...

Trois nouveaux counsels chez De Pardieu Brocas Maffei

Trois nouveaux counsels chez De Pardieu Brocas Maffei

Plébiscitant la croissance interne, le cabinet indépendant De Pardieu Brocas Maffei élève Sandrine Azou, Côme Chaine et Thibaut Lechoux au rang de cou...

Deux nouveaux directeurs à l’AMF

Deux nouveaux directeurs à l’AMF

Maxence Delorme et Amélie du Passage accèdent respectivement à la direction des affaires juridiques et à la direction de l’instruction et du contentie...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message