Le début de la saga :l’arrêt Schrems I. Tout d’abord, rappelons la genèse de tout ceci. Un citoyen autrichien, Maximillian Schrems a contesté le fait que les transferts de données personnelles effectuées par Facebook sous l’empire de la décision d’adéquation n° 2000/520 (dite décision « sphère de sécurité » ou safe harbor) assuraient un niveau de protection adéquat.
Par un arrêt du 6 octobre 2015[1] (dit Schrems I), la CJUE a jugé cette décision d’adéquation invalide. Les juges ont estimé que les programmes de surveillance des agences de renseignement US, et la collecte massive de données qui s’ensuit, violaient les articles 7, 8 et 47 de la Charte des droits fondamentaux de l’Union européenne[2], de même que le RGPD.
Privacy schield. Suite à cette décision, la Commission européenne, conformément à l’article 45 du RGPD, a usé de son pouvoir de constater qu’un pays tiers assure un niveau de protection adéquat, en raison de sa législation sur la protection des données. Elle a rendu, le 12 juillet 2016, une nouvelle décision n° 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (le « privacy shield »)[3]. Cet accord a mis en place, sous la houlette du Département du Commerce américain, un mécanisme d’auto-certification par lequel les entreprises américaines s’engagent à respecter les principes définis par le privacy shield. À dire vrai, cet accord a d’emblée suscité des réticences en Europe. À titre d’exemple, le dernier rapport de la Commission[4], daté du 23 octobre 2019, soulignait d’importantes marges de progrès, notamment s’agissant de l’absence de sanction à l’encontre d’entreprises se prétendant indument participantes au dispositif EU-U.S. Privacy Shield framework. Le principal écueil demeurait, toujours et encore, la capacité de captation de données à grande échelle par les agences de renseignements américaines.
La CJUE annule la décision d’adéquation. Les apparences n’auront été sauvegardées que quatre ans. Dans sa décision du 16 juillet 2020[5], la CJUE invalide le privacy shield, en prenant toutefois le soin de souligner que l’annulation de cette décision d’adéquation n’était pas susceptible de créer un vide juridique puisque l’article 49 du RGPD « […] établit, de manière précise, les conditions dans lesquelles des transferts de données à caractère personnel vers des pays tiers peuvent avoir lieu en l’absence d’une décision d’adéquation en vertu de l’article 45, paragraphe 3, dudit règlement ou de garanties appropriées au titre de l’article 46 du même règlement ». La CJUE souligne pour mémoire que le RGPD est applicable aux transferts de données à des fins commerciales, « nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État » (pts 80 à 89).
Affirmer l’applicabilité du RGPD, tout en constatant par ailleurs que les conditions de sa mise en œuvre ne sont pas remplies, n’est pas le moindre paradoxe de cette décision, qui affirme la prévalence du RGPD dans un environnement réglementaire américain qui ignore totalement ce dernier.
Possibilité de recourir aux clauses contractuelles types (CCT). Si la CJUE invalide le privacy shield, les juges sauvegardent la décision de la Commission européenne n° 2010/87 relative aux clauses contractuelles types (CCT)[6], pour les transferts des données personnelles vers un sous-traitant établi dans un pays tiers. Toutefois, cette validité est conditionnelle, puisqu’elle dépend de la question de savoir si, dans la pratique, des mécanismes efficaces permettent d’assurer le respect d’un niveau de protection adéquat et équivalent à celui garanti par le RGPD. Là encore, on peut se demander comment les CCT pourraient-elles apporter une quelconque garantie en matière de protection des données personnelles en présence de textes américains conçus pour n’en accorder aucune ? On notera avec intérêt que le 14 septembre 2020, la Haute Cour irlandaise a donné à Facebook la permission de lancer une Judicial Review de la décision préliminaire de la CNIL irlandaise (Data Protection Commission) estimant que les clauses contractuelles types utilisées par Facebook ne convenaient pas au transfert de données vers les États-Unis[7]. Aucune date n’est fixée pour un examen au fond qui pourrait se solder par un arrêt de mort des CCT dans leur état actuel.
Limites du Foreign Intelligence Surveillance Act (FISA act). Dans sa décision du 16 juillet 2020, la Cour est tout à fait explicite au sujet des pouvoirs de surveillance détenus par les agences américaines, notamment à la lumière du FISA act (pt 180) : « Il apparaît ainsi que l’article 702 du FISA ne fait ressortir d’aucune manière l’existence de limitations à l’habilitation qu’il comporte pour la mise en œuvre des programmes de surveillance aux fins du renseignement extérieur, pas plus que l’existence de garanties pour des personnes non américaines potentiellement visées par ces programmes ». Les juges poursuivent en constatant qu’« une base légale qui permet des ingérences dans les droits fondamentaux doit, pour satisfaire au principe de proportionnalité, définir elle-même la portée de la limitation de l’exercice du droit concerné et prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales ».
Pour mémoire, le FISA act est une loi votée en 1978[8], et amendée en 2008, décrivant les procédures de surveillance tant physiques qu’électroniques, ainsi que la collecte d’information à l’étranger de manière directe ou indirecte. Cette mise sous surveillance de Non-Américains peut avoir lieu pour une durée renouvelable d’un an, sur décision conjointe de l’Attorney General et du Director of National Intelligence (Section 1881).
Déjà en 2012, le Parlement européen soulignait : « § 1881a of FISA for the first time created a power of mass-surveillance specifically targeted at the data of non-US persons located outside the US, which applies to Cloud computing »[9]. Ce rapport rappelait par ailleurs que, sur le fondement de la FISA, les États-Unis avaient fondé une doctrine de collecte tous azimuts de données (« a doctrine of indiscriminate collection… »)[10] et que la construction par la NSA de centres de stockage et d’analyse des données avait désormais atteint une échelle sans précédent.
Par ailleurs, la CJUE dans sa décision de juillet 2020 vise l’Executive Order[11] 12333 et estime que ce dernier « ne confère pas non plus de droits opposables aux autorités américaines devant les tribunaux » (pt 182). Ces textes, lus en combinaison avec la PPD-28 (cf. infra), portent d’autant plus atteinte aux droits et libertés fondamentaux des personnes concernées qu’ils permettent aux services de renseignement une collecte massive de données sans nécessairement l’associer à une cible spécifique, ni l’encadrer par une surveillance judiciaire (pts 183 et 184).
Autres insuffisances. Le constat est identique s’agissant de la Directive Présidentielle 28 du 14 janvier 2014 (dite PPD-28)[12] prise par le Président Obama suite aux révélations d’Edward Snowden. Bien qu’ayant pour objet d’encadrer les actions des agences de renseignement américaines, le point 183 de la décision du 16 juillet 2020 n’en souligne pas moins que la PPD-28 permet de procéder à une « collecte “en vrac” [sic] d’un volume relativement important d’informations ou de données issues du renseignement d’origine électromagnétique dans des conditions où les services de renseignement ne peuvent pas utiliser d’identifiant associé à une cible spécifique […] pour orienter la collecte »[13].
Certes, le privacy shield prévoyait le recours à un médiateur (Ombudsperson) permettant d’envisager un dialogue, toutefois ce dernier souffrait d’un manque d’indépendance. Bien qu’étant décrit comme « indépendant des services de renseignement », il rendait « […] compte directement au secrétaire d’État qui veillera à ce que le médiateur remplisse sa mission en toute objectivité et à l’abri de toute influence inappropriée susceptible d’affecter la réponse qu’il devra donner ». Quel pouvait être le degré d’indépendance d’un médiateur désigné par le secrétaire d’État et faisant partie intégrante du département d’État des États-Unis (§ 195 de la décision) ?
Arrivé à ce stade de l’examen de la décision du 16 juillet 2020, une première analyse superficielle semble conduire à une vision binaire du sujet. Le privacy shield, tout comme son devancier le safe harbor, succombe faute de pouvoir assurer un niveau de protection suffisant des données personnelles face aux pouvoirs intrusifs des agences de renseignements US. Dans le même temps, les CCT soumises aux mêmes contraintes, trouvent grâce aux yeux de la CJUE. Il convient d’aller au-delà de ces apparences.
Quelles conséquences pratiques ?
Une large portée. Tout d’abord, l’emprise territoriale de cette décision du 16 juillet 2020 va bien au-delà des échanges avec les États-Unis. Certes, sont prohibés les transferts de données personnelles vers les entreprises américaines sous le visa du privacy shield, ce qui concerne notamment, soulignons-le, les prestataires de cloud[14]. Toutefois, en visant les CCT, la décision déborde le cadre des transferts outre-Atlantique.
S’agissant des CCT, la CJUE fait preuve d’une grande prudence à l’égard de leur capacité à servir de « roues de secours » en matière de transferts de données. Tout d’abord, les juges soulignent qu’un transfert de données personnelles effectué sous l’égide des CCT visées par l’article 46, § 2, c, du RGPD[15] doit assurer un « niveau de protection adéquat ». Ceci implique, de la part du responsable de traitement et du sous-traitant, une appréciation du degré de protection des données par rapport au RGPD et à la Charte des droits fondamentaux de l’Union européenne (pts 90 à 105). Au besoin, la décision souligne que doivent être apportées « des garanties supplémentaires à celles offertes par ces clauses » (pt 134 in fine), étant bien évidemment rappelé que ces CCT ne sont « pas susceptibles de lier les autorités de ce pays tiers, puisque ces dernières ne sont pas parties au contrat » (pt 125). Ainsi que le souligne la CJUE dans son communiqué de presse, les CCT instaurent « une obligation pour l’exportateur des donnés et le destinataire du transfert de vérifier, au préalable, que ce niveau de protection est respecté dans le pays tiers concerné et [obligent] ce destinataire à informer l’exportateur des données de son éventuelle incapacité de se conformer aux clauses types de protection, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu avec le premier »[16].
En résumé, si malgré le recours aux CCT, et l’application éventuelle de garanties supplémentaires, un second niveau de vérification doit intervenir si des garanties substantiellement adéquates ne peuvent être apportées. Ce second niveau de vérification relève de la compétence des autorités de contrôle nationales[17] lesquelles, sauf décision d’adéquation de la Commission, peuvent suspendre ou interdire un transfert[18] fondé sur des CCT qui n’assureraient pas un niveau de protection substantiellement équivalent à celui de l’Union (pts 106 à 121). Bien entendu, le risque est celui d’une divergence d’appréciation entre les autorités nationales en ce qui concerne le contenu des mesures complémentaires que les entreprises devraient mettre en œuvre, en sus des CCT et des BCRT. Outre le fait que cette situation pourrait conduire à un forum shopping, elle serait également une source de difficultés pour les activités transfrontalières.
Le Brexit : une brèche en Europe ? À la différence du privacy shield, d’essence bilatérale, les CCT n’ont pas d’application territoriale prédéfinie et couvrent des transferts de données personnelles bien au-delà des États-Unis. La nécessité d’un examen de la compatibilité du droit du pays réceptionnaire des données ouvre des horizons sans fin. Quid de l’application des CCR dans la perspective d’un hard Brexit ? La Grande-Bretagne, en signant un accord bilatéral avec les États-Unis à propos du CLOUD Act, laisse planer des doutes importants quant aux garanties qu’elle accordera à la protection des données personnelles[19].
Ne peut-on penser que, dans ce domaine, la Grande-Bretagne a d’ores et déjà fait son choix et que la cause est largement entendue ? En effet, dès le 4 février 2016, le gouvernement britannique a choisi de ne pas adhérer à l’article 48 du RGPD[20]. Ce « refus d’adhésion » était fondé sur le protocole n° 21 du TFUE[21] et sur la position du Royaume-Uni et de l’Irlande à l’égard de l’espace de liberté, de sécurité et de justice. Ce dernier prévoit que le Royaume-Uni et l’Irlande ne doivent pas prendre part à l’adoption par le Conseil de certaines mesures, y compris celles concernant les questions de justice et d’affaires intérieures, et que tout accord international conclu par l’Union européenne relative à ces mesures ne doit pas être obligatoire ou applicable au Royaume-Uni, à moins que ce dernier ne notifie au Conseil sa décision de les mettre en œuvre (art. 3). Ceci signifie que l’article 48 du RGPD[22] ne lie pas le Royaume-Uni.
Or, l’enjeu de ce texte est important puisqu’il prévoit : « Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre, sans préjudice d’autres motifs de transfert en vertu du présent chapitre. »
Dans tous les cas de figure, un examen d’adéquation non concluant, et une impossibilité d’adopter des mesures de protection complémentaires, ou d’invoquer l’une des dérogations prévues par l’article 49 du RGPD[23] doit conduire à une absence ou à la suspension du transfert de données.
Exceptions : transferts en l’absence de décision d’adéquation. S’agissant des exceptions de l’article 49 du RGPD, le point d) de ce dernier vise « un motif d’intérêt public » permettant un transfert en l’absence de décision d’adéquation, ou de garanties appropriées, y compris de règles d’entreprise contraignantes. Si les agences de renseignement américaines peuvent certes invoquer l’intérêt public, ce motif n’est toutefois pas recevable.
Tout d’abord, le considérant 115 du RGPD souligne que l’application extraterritoriale de lois, règlements et autres actes « peut être contraire au droit international et faire obstacle à la protection des personnes physiques garantie dans l’Union par le présent règlement. Les transferts ne devraient être autorisés que lorsque les conditions fixées par le présent règlement pour les transferts vers les pays tiers sont remplies ».
Par ailleurs, ce même considérant vise une divulgation nécessaire « pour un motif important d’intérêt public reconnu par le droit de l’Union ou le d’un État membre auquel le responsable du traitement est soumis ». L’exception de l’article 49 d), ne vaut ainsi que s’agissant des intérêts publics d’un des États membres de l’Union ou de l’Union elle-même[24].
In fine, il appartient donc aux responsables et sous-traitants, outre le recours aux CCT, de s’assurer de la protection adéquate des données personnelles, notamment au travers d’accords contractuels dont on sait qu’ils sont fréquemment le fruit d’un rapport de force, souvent asymétrique, notamment avec les GAFAM. Le fait que le Comité européen de la protection des données ait jugé opportun, dès le 23 juillet, de diffuser une FAQ[25] au sujet de l’arrêt du 16 juillet 2020 est significatif de la complexité des sujets soulevés. Parmi les questions abordées dans cette FAQ, on relèvera notamment les quelques éléments qui suivent.
Applicabilité immédiate ? Tout d’abord, il est rappelé que la décision d’invalidation du privacy shield est d’application immédiate, sans délai de grâce particulier (§3 de la FAQ). Cette affirmation est totalement décorrélée de la réalité opérationnelle. Le nombre de traitements potentiellement concernés, le volume de données échangées et leur importance stratégique s’accommodent mal d’un simple « débranchement » du jour au lendemain, ce d’autant que les entités concernées doivent se livrer à une analyse d’impact approfondi afin d’évaluer les éventuelles solutions de repli.
Par ailleurs (§ 5), la FAQ reprend le contenu de la décision de la CJUE en rappelant que, compte tenu des circonstances entourant le transfert, et des éventuelles mesures supplémentaires, il faut suspendre ou mettre fin au transfert des données à caractère personnel. In fine, la poursuite du transfert des données conduira certainement à la saisine de l’autorité de contrôle qui décidera de la poursuite ou de l’interdiction du transfert de données. À cette dernière d’apporter une réponse aux questions insolubles des responsables de traitement et sous-traitants.
Autres mécanismes protecteurs ? La question du recours à d’autres mécanismes protecteurs est également évoquée. S’agissant des Binding Corporate Rules[26] (§ 6), par identité de motifs, la conclusion est la même que celle retenue s’agissant des CCT. Pour les autres mécanismes, la FAQ rappelle, sous le visa de l’article 46 du RGPD[27], que la règle est celle de la nécessité d’une préservation d’une « équivalence essentielle » des garanties.
La FAQ reprend ici le principe énoncé par la décision de juillet 2020 (pt 92), à savoir que l’article 44 du RGPD[28] fixe un principe d’application général : « [toutes] les dispositions [de ce chapitre] sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par [le même] règlement ne soit pas compromis ». Autrement dit, ce niveau de protection est attendu « quelle que soit la disposition dudit chapitre sur le fondement de laquelle est effectué un transfert de données à caractère personnel vers un pays tiers ».
Le § 10 de la FAQ précise que le Comité européen de la protection des données conduit des travaux afin de déterminer le type de mesures supplémentaires qui pourraient être mises en place, que ce soit au plan juridique, technique ou organisationnel, afin de transférer des données vers des pays tiers dans lesquelles CCT et BCR ne garantiraient pas un niveau de garanties adéquat. En tout état de cause, les contrats de sous-traitance (art. 28 du RGPD) devront être revus, afin d’envisager une mise à jour conforme aux attendus de la CJUE.
Transfert des données personnelles vers un pays tiers. Autre point intéressant, la question du transfert des données personnelles vers un pays tiers autre que les États-Unis. La FAQ rappelle (§ 9) qu’il incombe au responsable de traitement et au sous-traitant d’évaluer si le niveau de protection requis par le droit communautaire est respecté dans le pays tiers concerné. À défaut, ils devront envisager d’éventuelles mesures supplémentaires afin d’assurer une protection essentiellement équivalente, tout en vérifiant que la législation du pays tiers ne fera pas obstacle à l’application de ces diverses précautions. Parmi ces dernières, on pense évidemment à l’anonymisation.
À ce sujet, deux remarques s’imposent. Tout d’abord, l’anonymisation[29] étant par principe irréversible[30], les données anonymisées ne peuvent être utilisées dans des processus métier, elles sont en quelque sorte « stérilisées » et donc inutilisables. La question de l’anonymisation est donc hors propos s’agissant d’un transfert de données « vives ». Par ailleurs, on soulignera que dans une délibération n°SAN-2020-003 du 28 juillet 2020, la CNIL considère (ainsi que l’ANSSI[31]) que si l’algorithme SHA-256 permet d’assurer l’intégrité des données, il ne permet pas de les anonymiser. Cette prise de décision n’est pas neutre s’agissant des blockchains recourant à cet algorithme.
Une fois encore, on rappellera un dispositif à double détente. Il appartient aux entreprises d’identifier les transferts de données personnelles vers les pays tiers (dont notamment, mais pas exclusivement, les États-Unis), en identifiant les mécanismes de protection mis en œuvre à cette occasion (essentiellement privacy shield, CCT ou BCR). Si le transfert sous le seul visa du privacy shield doit être abandonné, le recours aux CCT et BCR doit quant à lui conduire à un examen très attentif du niveau de garantie qu’offrent réellement ces dispositifs, et à envisager si nécessaire des mesures complémentaires de protection. On mesure ici le risque lié à la multiplicité des analyses selon les entreprises, leurs intérêts respectifs et leur lieu d’implantation.
Recours à l’autorité nationale. En dernier lieu, le recours à l’autorité nationale doit être envisagé afin qu’elle autorise un transfert de données. La question qui se pose est de savoir si tout ceci ne va pas conduire à des longueurs de traitement et, in fine, à une impasse dans des domaines par ailleurs stratégiques pour les entreprises. Une fois encore, on peut redouter et à des écarts d’interprétations selon les autorités.
Bilan d’impuissance. Fondamentalement la décision de juillet 2020 dresse un constat d’échec identique à Schrems I, à savoir l’incapacité d’obtenir des États-Unis une réelle garantie quant à la protection des données personnelles des citoyens européens. Les questions de sécurité nationale priment et sans doute pour très longtemps encore. Notons que la reconduction, le 19 janvier 2018, pour six ans, de la section 702 du FISA act est la manifestation d’une politique durable en la matière, laquelle transcende les clivages démocrates et républicains.
Le constat d’échec sans appel que dresse la CJUE est d’autant plus préoccupant dans le contexte de la pandémie Covid-19, laquelle a conduit à un renforcement de la position des GAFAM, notamment en matière de cloud computing. La domination d’une poignée d’entreprises fait courir aux entreprises clientes un risque de concentration. ce dernier, évoqué dans les lignes directrices de l’ABE relatives à l’externalisation[32], est également évoqué dans une instruction récente de l’ACPR n° 2020-I-09 relative à l’information préalable de l’ACPR, dans le domaine de l’assurance, en cas d’externalisation d’activités ou de fonctions importantes ou critiques et d’évolution importante les concernant.
In fine, la CJUE fait preuve d’un remarquable jésuitisme en préservant, sous d’amples conditions, les CCT, laissant le soin aux entreprises de trancher le nœud gordien de la protection des transferts de données personnelles vers des pays tiers, dont notamment les États-Unis. De nouvelles CCT devraient être diffusées par l’EDPB avant la fin de cette année. Il n’est pas certain qu’elles soient suffisantes à apaiser les doutes des partenaires commerciaux des sous-traitants américains, ni à régler des questions qui relèvent, avant toute chose, de la géopolitique et du rapport de force entre des législations ayant des visées extraterritoriales. N’oublions pas, qu’à plus ou moins brève échéance, des questions identiques se poseront à l’égard de prestataires de cloud chinois. Tencent, considéré comme le deuxième acteur du marché chinois dans le domaine du cloud computing, a ainsi décidé de créer une filiale française ayant notamment pour objet « la fourniture de prestations de services en matière de cloud au profit des consommateurs et des professionnels… ».
Protection des données personnes – RGPD – Privacy shield – Clauses contractuelles types.
[1] . Arrêt C‑362/14.
[2] . Garantissant respectivement le droit à la vie privée et familiale, la protection des données personnelles et le droit à une protection juridictionnelle effective.
[3] . En application de l’article 45 du RGPD qui lui confère le pouvoir de constater qu’un pays tiers assure un niveau de protection adéquat, en raison de sa législation sur la protection des données.
[4] . Report from the Commission to the European Parliament and the Council on the third annual review of the functioning of the EU-U.S. Privacy Shield - SWD(2019) 390 final.
[5] . CJUE 16 juillet 2020, aff. C-311/18, Data Protection Commissioner c/ Maximillian Schrems et Facebook Ireland.
[6] . Contrats types validés par la Commission Européenne permettant le transfert de données personnelles d’un « exportateur » européen vers un « importateur » non européen - Article 46 (2) c) et d) du RGPD) – Les CCT ont été adoptées le 5 février 2010 pour les transferts de données personnelles entre un responsable du traitement et un sous-traitant (2010/87/UE) et le 27 décembre 2004 pour les transferts de données personnelles entre deux responsables du traitement (2004/915/CE).
[7] . https://www.reuters.com/article/uk-facebook-privacy/irish-high-court-freezes-probe-into-facebooks-eu-u-s-data-flows-idUKKBN2652FA.
[8] . Entrée en vigueur le 25 octobre 1978 et codifiée au titre 50 du US Code, chapitre 36
[9] . « Fighting Cyber Crime and protecting privacy in the cloud », Parlement européen, octobre 2012 spéc. p 33. Le Parlement souligne : « The scope of surveillance was extended beyond interception of communications, to include any data in public cloud computing as well » (Ibid.).
[10] . Ibid. p. 35
[11] . L’Executive order (EO) 12333 intitulé « United States Intelligence Activities » a été signé par le président Ronald Reagan le 4 décembre 1981. Il autorise les services de renseignement à « collecter, conserver ou diffuser » un large éventail d’informations, sous réserve de procédures à établir par chaque agence et approuvées par le Procureur général après consultation du directeur du renseignement national.
[12] . https://www.dhs.gov/publication/presidential-policy-directive-28-ppd-28-signals-intelligence-activities
[13] . Est mentionnée le contenu d’une lettre du 21 juin 2016 du bureau du directeur du renseignement national (Office of the Director of National Intelligence) au ministère américain du Commerce ainsi qu’à l’administration du commerce international, figurant à l’annexe VI de la décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016.
[14] . Sur les conséquences de l’arrêt Schrems II, cf. l’excellente synthèse de Me Cantero et Caprioli in l’Usine Digitale du 30 juillet 2020.
[15] . Les garanties appropriées visées […] peuvent être fournies, sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle, par (c) « des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2 ».
[16] . Communiqué de presse n° 91/20 du 16 juillet 2020. https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fr.pdf
[17] . Par ailleurs, vertu de l’article 57, paragraphe 1, f), du RGPD, chaque autorité de contrôle doit traiter les réclamations que toute personne, conformément à l’article 77, paragraphe 1, dudit règlement, peut introduire si elle estime qu’un traitement de données à caractère personnel est irrégulièrement effectué.
[18] . Article 58, paragraphe 2, f) et j), du RGPD.
[19] . E. Jouffin, « CLOUD act- Accord bilatéral USA-UK : les Anglais ont tiré les premiers », Banque et Droit n° 189, p.4 et s.
[20] . https://www.parliament.uk/business/publications/written-questions-answers-statements/written-statement/Lords/2016-02-04/HLWS500/. On soulignera qu’était visé l’article 43a, devenu par la suite 48.
[21] . JOUE du 26 octobre 2012, p. 295, 2012/C 326/1.
[22] . « Transferts ou divulgations non autorisés par le droit de l’Union ».
[23] . Consentement de la personne concernée, nécessité pour l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée, nécessité pour la conclusion ou l’exécution d’un contrat conclu dans l’intérêt de la personne concernée, motifs d’intérêts public, nécessité pour la constatation, l’exercice ou la défense de droits en justice, sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, transfert depuis un registre destiné à fournir des informations au public et ouvert à la consultation du public
[24] . Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679 publiées le 25 mai 2018, issues du Comité européen de la protection des données (remplaçant du G29). Spéc. p. 10 § 2.4 : « According to Article 49 (4), only public interests recognized in Union law or in the law of the Member State to which the controller is subject can lead to the application of this derogation ».
[25] . https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf.
[26] . Les Règles d’Entreprise Contraignantes (ou « BCR ») sont des règles internes applicables à l’ensemble des entités d’un groupe contenant des principes clés permettant d’encadrer les transferts de données personnelles hors de l’Union (cf. article 47 du RGPD).
[27] . « Transferts moyennant des garanties appropriées ».
[28] . « Principe général applicable aux transferts ».
[29] . Sur ce sujet : avis 05/2014 du groupe de travail « article 29 » du 10 avril 2014 sur les Techniques d’anonymisation. ; Document de la CNIL du 19 mai 2020 : https://www.cnil.fr/fr/lanonymisation-de-donnees-personnelles.
[30] . « L’anonymisation peut être le résultat du traitement de données à caractère personnel dans le but d’empêcher irréversiblement l’identification de la personne concernée. » : avis 05/2014 du groupe de travail « article 29 » du 10 avril 2014, chap. 2.2.
[31] . Pt. 62 de la délibération.
[32] . Lignes directrices de l’ABE 2019/04 du 28 novembre 2019. S. Fekir, « Orientations de l’Autorité Bancaire Européenne (ABE) en matière d’externalisation, y compris vers des fournisseurs de services en nuage (cloud) », Banque & Droit n° 185, rubrique « Régulation et Conformité ». M. de Marolles, « Quid des nouvelles Orientations de l’Autorité bancaire européenne (ABE) en matière d’externalisation pour les établissements de crédit français, depuis ce 30 septembre 2019 : une révolution ou une simple évolution ? », Banque & Droit n° 189.
