Le 6 octobre 2015, par un arrêt dit Schrems I [1], la CJUE invalidait le Safe Harbour, remplacé le 12 juillet 2016 [2] par le « bouclier de protection des données UE-États-Unis » ou Privacy Shield. Cet accord, mis en place sous la houlette du Département du Commerce américain, introduit un mécanisme d’auto-certification par lequel les entreprises américaines s’engageaient à respecter les principes définis par le Privacy Shield. Les conditions de mise en œuvre de cet accord se sont avérées rapidement perfectibles. Le G29, dès le 13 avril 2016[3] émettait notamment des réserves au sujet de la médiation prévue par le Privacy Shield. Par la suite, la Commission a fait de son mieux pour préserver les apparences.
Dans un premier rapport annuel de novembre 2017[4], la Commission soulevait de nombreuses pistes d’amélioration. Dans son troisième rapport annuel d’application du Privacy Shield [5] du 23 octobre 2019, bien que cette même Commission ait souligné notamment l’absence de sanction à l’encontre d’entreprises se prétendant indûment participantes au dispositif du Privacy Shield, elle se déclarait finalement satisfaite de l’efficacité du bouclier de protection des données personnelles.
Cette succession de faux-semblants a pris fin le 16 juillet 2020 [6], avec un arrêt de la CJUE « Schrems II », prononçant une nouvelle invalidation, pour des motifs identiques à ceux articulés contre le Safe Harbour et qui peuvent être ainsi résumés : l’incapacité de ces dispositifs à assurer un niveau de protection « substantiellement équivalent à celui garanti au sein de l’Union européenne »[7]. À cette occasion, les juges de Luxembourg soulignent que le RGPD[8] est applicable aux transferts de données à des fins commerciales, « nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État » (pts 80 à 89).
Dans un souci de prévention d’un éventuel vide juridique, l’arrêt de juillet 2020 a toutefois préservé, sous certaines conditions exposées ci-après, les clauses contractuelles types[9] (CCT) objets de la décision de la Commission européenne 2010/87[10], permettant le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers.
Cette décision nous semble pouvoir être abordée sous deux aspects. Tout d’abord, ce qu’elle nous dit des approches respectives de l’Europe et États-Unis en matière de protection des données personnelles au regard des impératifs de sécurité nationale (I.). Le second aspect est, hélas, ce qu’elle ne nous dit pas en ce qui concerne les voies et moyens de concilier les impératifs opérationnels avec les restrictions nées de cet arrêt Schrems II (II.).
I. Lecture croisée UE-USA de la protection de la vie privée face aux enjeux sécuritaires
1. L’exemple de l’article 49 d du RGPD
Dans sa décision du 16 juillet 2020, la CJUE prend le soin de souligner que l’annulation d’une décision d’adéquation n’est pas susceptible de créer un vide juridique puisque l’article 49 du RGPD « […] établit, de manière précise, les conditions dans lesquelles des transferts de données à caractère personnel vers des pays tiers peuvent avoir lieu en l’absence d’une décision d’adéquation en vertu de l’article 45, paragraphe 3, dudit règlement ou de garanties appropriées au titre de l’article 46 du même règlement ».
On notera que cet article 49 semble, du moins en apparence, s’apparenter pour la CJUE, à une sorte de panacée puisqu’il y est fait explicitement référence pour justifier l’annulation du Privacy Shield avec effet immédiat (§202). Quelques remarques s’imposent.
L’article 49 vise, dans un point d), « un motif d’intérêt public » permettant un transfert en l’absence de décision d’adéquation, ou de garanties appropriées, y compris de règles d’entreprise contraignantes. Si les agences de renseignement américaines peuvent certes invoquer l’intérêt public, ce motif n’est toutefois pas recevable. D’une part, dans sa FAQ de juillet 2020, le CEPD rappelle que cette dérogation, bien qu’elle « ne soit pas limitée aux transferts de données “occasionnels”, ne signifie pour autant pas que les transferts de données sur la base de la dérogation d’intérêt public important peuvent avoir lieu à grande échelle et de manière systématique ».
Par ailleurs, le considérant 115 du RGPD souligne que l’application extraterritoriale de lois, règlements et autres actes « peut être contraire au droit international et faire obstacle à la protection des personnes physiques garantie dans l’Union par le présent règlement. Les transferts ne devraient être autorisés que lorsque les conditions fixées par le présent règlement pour les transferts vers les pays tiers sont remplies ». Ce même considérant vise unedivulgation nécessaire« pour un motif important d’intérêt public reconnu par le droit de l’Union ou le d’un État membre auquel le responsable du traitement est soumis ». L’exception de l’article 49 d), ne vaut ainsi que s’agissant des intérêts publics d’un des États membres de l’Union ou de l’Union elle-même[11].
Ceci, rappelé, il convient de s’attarder, au travers de l’exemple tiré de l’article 49 du RGPD, su ce que permet la lutte contre la criminalité en matière d’atteinte à la vie privée.
2. La lutte contre la criminalité et protection des données – Les divergences Europe et États-Unis
2.1. Europe : Prééminence de la protection de la vie privée
On se rappellera que la CJUE, par deux arrêts du 6 octobre 2020 [12] , a énoncé que le droit de l’Union s’opposait à une réglementation nationale exigeant d’un fournisseur de services de communications électroniques, fut-ce à des fins de lutte contre les infractions en général ou de sauvegarde de la sécurité nationale, la transmission ou la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation.
La CJUE soulignait toutefois les limites de l’exercice en précisant deux points importants. Tout d’abord, en soulignant que si l’article 15, paragraphe 1, de la directive 2002/58/CE du 12 juillet 2002 dite « ePrivacy » autorise des limitations aux droits qu’elle préserve[13], ce n’est que dans la mesure où « la dérogation à l’obligation de principe de garantir la confidentialité des communications électroniques et des données y afférentes et, en particulier, à l’interdiction de stocker des données […], ne devienne la règle » (pt 111). Dès lors, la limitation autorisée par cet article 15, paragraphe 1 de la directive doit être vue comme une exception, devant être interprétée strictement, et non comme un principe.
Par ailleurs, la Cour insiste sur le principe de proportionnalité (pts 112-113). Eu égard à la nature intrusive des données relatives au trafic et à la localisation, leur seule conservation, indépendamment de la question de leur exploitation effective ou non, porte atteinte tant aux articles 7 et 8 de la Charte qu’à l’article 11 relatif à la liberté d’expression (pts 114-119). Pour autant, les droits protégés par la directive ne doivent pas être regardés comme absolus mais considérés « par rapport à leur fonction dans la société » (pt 119), ce qui nécessite une conciliation avec le droit à la sûreté (pts 120-128). Les juges de Luxembourg renvoient ainsi à un principe de proportionnalité.
Cette jurisprudence d’octobre 2020 est constante. On se souvient que la CJUE, par un arrêt remarqué de 2014 Digital Rights Ireland Ltd [14], avait invalidé purement et simplement la directive 2006/24 sur la conservation des données[15] et affirmé que « la circonstance que la conservation des données et l’utilisation ultérieure de celles-ci sont effectuées sans que l’abonné ou l’utilisateur inscrit en soient informés est susceptible de générer dans l’esprit des personnes concernées, […] le sentiment que leur vie privée fait l’objet d’une surveillance constante »[16].
Par la suite, deux arrêts du 21 décembre 2016, Tele2 Sverige AB et Secretary of State for Home Department c/ Tom Watson e. a. [17] , devaient reprendre la substance de cet arrêt Digital Rights Ireland Ltd. Le premier de ces deux arrêts statuait sur la déclinaison suédoise de la directive 2006/24, estimant à cette occasionqu’« une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique » était illicite.
Si la Cour condamne les législations nationales allant au-delà du strict nécessaire en matière de conservation de données, elle envisage comme possible « une réglementation permettant, à titre préventif, la conservation ciblée des données relatives au trafic et des données de localisation, à des fins de lutte contre la criminalité grave, à condition que la conservation des données soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire » (§ 108 de l’arrêt Tele 2).
On soulignera enfin que la Cour européenne des droits de l’homme a jugé dans une affaire Roman Zakharov c/ Russie [18], dans un contexte de mesures secrètes de surveillance des conversations téléphoniques, que : « la prévisibilité ne peut pas signifier qu’un individu devrait être en mesure de prévoir quand les autorités sont susceptibles d’intercepter ses communications afin qu’il puisse adapter son comportement en conséquence ».
La lecture que font les États-Unis de l’équilibre entre protection de la vie privée et lutte contre la criminalité diffère sensiblement.
2.2. États-Unis – Le tropisme de la sécurité nationale
La lecture du Livre blanc sur les suites de la décision de la CJUE[19] diffusé en septembre 2020 par le département US du Commerce suite à la décision Schrems II est éclairante sur la posture des États-Unis au regard de l’équilibre entre vie privée et lutte contre la criminalité.
Dans une lettre de présentation de ce Livre blanc[20], le sous-secrétaire adjoint aux services du département du commerce précise tout d’abord que ce document a pour objet « […] d’aider les organisations à évaluer si leurs transferts offrent une protection des données appropriée conformément à l’arrêt de la CJCE », tout en décrivant « […] les limites et les garanties solides en vigueur aux États-Unis concernant l’accès des gouvernements aux données ».
Cette même lettre justifie l’action des États-Unis[21], tout en soulignant,« Toutefois, compte tenu notamment des vastes réformes de la surveillance aux États-Unis depuis 2013, et comme le décrit plus en détail le livre blanc, le cadre juridique américain pour la collecte de renseignements étrangers prévoit des limites plus claires, des garanties plus solides et un contrôle indépendant plus rigoureux que les lois équivalentes de presque tous les autres pays »… Le presque a une importance considérable qui donne le ton général du Livre blanc.
Ce dernier, intitulé « Informations sur les garanties américaines en matière de protection de la vie privée concernant les CCT et autres bases juridiques de l’UE pour les États-Unis. Transferts de données après Schrems II », résume ainsi ses points clés.
La communauté du renseignement américain n’est pas intéressée par la captation de données personnelles : « (1) La plupart des entreprises américaines ne traitent pas de données qui présentent un intérêt pour les services de renseignement américains et n’ont aucune raison de croire qu’elles le font. Elles ne sont pas engagées dans des transferts de données qui présentent le type de risques pour la vie privée qui semblent avoir préoccupé la CJUE dans l’affaire Schrems II. » Déclaration qui doit être considérée en regard des diverses lois US permettant la captation de données personnelles à des fins de renseignement.
Par ailleurs, est souligné le fait que la lutte conduite par les États-Unis dans le domaine de la sécurité profite largement à l’Europe : « (2) Le gouvernement américain partage fréquemment des informations de renseignement avec les États membres de l’UE, y compris des données divulguées par des entreprises en réponse à des ordonnances de la FISA 702, afin de contrer des menaces telles que le terrorisme, la prolifération des armes et la cyberactivité étrangère hostile. Le partage des informations FISA 702 [22] sert sans aucun doute d’importants intérêts publics de l’UE en protégeant les gouvernements et les populations des États membres. »La captation des données dénoncées par l’arrêt Shrems IIbénéficiant en réalité aussi bien aux États-Unis qu’à l’Europe, celle-ci est dès lors mal fondée à dénoncer des pratiques dont elle est le bénéficiaire direct.
Par ailleurs, il est souligné que l’arrêt Schrems II a été partial en n’approfondissant pas la richesse de la législation américaine en matière de protection de la vie privée. « (3) Il existe une multitude d’informations publiques sur les protections de la vie privée dans la législation américaine concernant l’accès du gouvernement aux données à des fins de sécurité nationale, y compris des informations non enregistrées dans la décision 2016/1250, de nouveaux développements survenus depuis 2016 et des informations que la CJUE n’a pas examinées ni traitées. Les entreprises peuvent souhaiter prendre en compte ces informations dans toute évaluation de la législation américaine postérieure à la décision Schrems II. » Dans les faits, qu’en est-il ?
Sans entrer dans un inventaire législatif dépassant le cadre du présent hors-série, examinons quelques exemples tirés de la réglementation américaine.
a. Les captations de données par les entités de renseignement
Les commissions rogatoires accordées par l’United States Foreign Intelligence Surveillance Court (FISC) autorisant le recours à des opérations de captation d’informations ne sont pas publiques et si elles sont susceptibles de recours devant la Foreign Intelligence Surveillance Court of Review (FISCR)[23], ce recours est largement théorique. En effet, les appels devant la FISCR sont rares, puisqu’en 2014 on comptait seulement deux décisions rendues par cette Cour depuis sa création le 25 octobre 1978 par le FISA Act [24]. Le rapport de la Délégation parlementaire au renseignement de 2014 souligne à cet égard : « Le contrôle de l’application des règles posées par le FISA est assuré par la NSA elle-même et par la division de la sécurité nationale du Département de la Justice, lequel doit rapporter certaines informations à la Cour de façon périodique (notamment sous la forme de rapports mensuels sur l’exécution du programme) ».
Certes, la Cour Suprême des États-Unis, par un arrêt Carpenter [25] du 22 juin 2018, a mis un terme à la géolocalisation des portables sans obtention préalable d’un mandat, visant à cette occasion le 4e amendement et affirmant que toute personne dispose d’une attente raisonnable en matière de vie privée concernant les informations générées par son téléphone mobile.
De même, un amendement Leahy Lee[26], adopté à l’occasion du USA freedom reauthorization Act de 2020 [27] renforce le rôle des « amici curiae », experts indépendants auprès de la FISC, en augmentant leur accès à l’information, ainsi que leur pouvoir de soulever des questions auprès de la Cour et le nombre d’affaires dans lesquelles ils sont nommés. Cette évolution, quoique bienvenue, n’offre toujours pas les conditions d’une parfaite transparence de la procédure.
On soulignera enfin une décision de la Cour d’appel fédérale du 9e Circuit du 2 septembre 2020[28] ayant indiqué que la collecte secrète en masse des metadata[29] des enregistrements téléphoniques d’Américains (qui, comment, où et quand les appels sont passés) révélée par Edward Snwoden et menée par la NSA pourrait s’avérer inconstitutionnel pour violation du 4e amendement. Cette affaire concernait le financement du terrorisme somalien par des membres de la diaspora somalienne aux États-Unis, les preuves utilisées étant issues de ce programme de collecte.
Tout ceci ne doit toutefois pas faire oublier que la protection du 4e amendement ne bénéficie pas aux « non-US persons ». Ces derniers n’ont droit à aucune des garanties constitutionnelles prévues par le droit US, dont notamment le quatrième amendement qui requiert un mandat et une sérieuse justification pour toute perquisition ou interception[30].
L’on sait que le Congrès américain a adopté, en février 2016, le Judicial Redress Act [31], accordant aux ressortissants européens le droit notamment d’introduire un recours juridictionnel aux États-Unis. Pour autant, la complexité de tels recours justifiait pleinement, dans le Privacy Shield, l’existence de l’Ombudsperson [32], chargé d’apporter une réponse amiable aux demandes relatives à des accès, à des fins de sécurité nationale, aux données à caractère personnel transmises de l’UE aux États-Unis.
La question de la protection des données personnelles se pose identiquement dans le cadre d’enquêtes judiciaires.
b. Les communications de données à l’occasion d’enquêtes judiciaires pénales
Le Clarifying Lawful Overseas Use of Data Act du 23 mars 2018 (ou CLOUD Act), qui doit simplifier et modifier la procédure d’accès aux preuves en matière de lutte contre les « serious crimes », notion largement entendue, exige que la communication de données nécessite une autorisation préalable par une juridiction. Si ce texte suscite diverses questions s’agissant de sa comptabilité avec la protection des données personnelles, du moins s’inscrit-il dans un cadre procédural légal.
Ce constat conduit à aborder la question des garanties procédurales, lesquelles doivent être replacées dans le contexte qui est le leur, c’est-à-dire celui du droit américain.
Ainsi, le Comité européen à la protection des données rappelle[33] que la notion de « juridiction » est une notion autonome du droit communautaire et que la CJUE veille au respect du critère d’indépendance[34]. Cette dernière a notamment souligné dans un arrêt du 6 octobre 2015 qu’un tribunal « […] exerce ses fonctions en toute autonomie, sans être soumis à aucun lien hiérarchique ou de subordination à l’égard de quiconque et sans recevoir d’ordres ou d’instructions de quelque origine que ce soit »[35]. Par ailleurs, ce même tribunal doit être protégé contre les pressions extérieures susceptibles de menacer l’indépendance de ses membres[36].
La CJUE estime notamment que les parquets allemands n’offrent pas une garantie d’indépendance suffisante par rapport au pouvoir exécutif pour pouvoir émettre un mandat d’arrêt européen[37]. Cette vigilance est également partagée par la CEDH[38], laquelle a notamment dénié le statut d’« autorité judiciaire » au Procureur de la République français.
Le CLOUD Act offre ainsi l’occasion de s’interroger sur la portée des notions de juge ou de Court, question qui devrait être au centre des préoccupations des négociations en vue de la conclusion d’un accord entre l’Union européenne et les États-Unis d’Amérique sur l’accès transfrontière aux preuves électroniques pour la coopération judiciaire en matière pénale[39]. À cet égard, dans son projet de rapport, la rapporteure du texte devant le Parlement européen a insisté sur l’exigence d’indépendance en la mentionnant dans l’article 3-a du projet texte[40] par une référence expresse à « un juge, une juridiction, un juge d’instruction ou un procureur indépendant compétents dans l’affaire concernée ».
Rappeler que les États-Unis et l’Europe ont une conception très différente de l’équilibre entre protection des données etenjeux sécuritaires permet d’éclairer les conséquences pratiques issues de l’arrêt Schrems II, du moins dans la perspective des transferts vers les États-Unis.
II. Quelles conséquences pratiques ?
1. L’Efficacité conditionnelle des clauses contractuelles types (CCT)
Si, dans sa décision Schrems II, la CJUE estime que les CCT permettent le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers, c’est sous une réserve importante. Les juges soulignent qu’un transfert de données personnelles effectué sous l’égide des CCT visées par l’article 46, § 2, c, du RGPD[41] doit en effet assurer un « niveau de protection adéquat ». Ceci implique, de la part du responsable de traitement et du sous-traitant, une appréciation du niveau de protection des données par rapport au RGPD et à la Charte des droits fondamentaux de l’Union européenne (pts 90 à 105).
Si à la suite de ce premier examen, les CCT ne sont pas estimées suffisantes pour assurer cette protection, doivent être apportées « […] des garanties supplémentaires à celles offertes par ces clauses » (pt 134 in fine), étant bien évidemment rappelé que ces CCT ne sont « pas susceptibles de lier les autorités de ce pays tiers, puisque ces dernières ne sont pas parties au contrat » (pt 125).
Ainsi que le souligne la CJUE dans son communiqué de presse, les CCT instaurent « une obligation pour l’exportateur des donnés et le destinataire du transfert de vérifier, au préalable, que ce niveau de protection est respecté dans le pays tiers concerné et [obligent] ce destinataire à informer l’exportateur des données de son éventuelle incapacité de se conformer aux clauses types de protection, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu avec le premier »[42].
Si malgré le recours aux CCT, et l’application d’éventuelles garanties supplémentaires, la protection des données est estimée insuffisante, il appartient in fine aux autorités de contrôle nationales[43] de statuer. Ces dernières, sauf décision d’adéquation de la Commission, peuvent en effet suspendre ou interdire un transfert[44] fondé sur des CCT n’assurant pas un niveau de protection substantiellement équivalent à celui de l’Union (pts 106 à 121).
Le constat qui s’impose est que cette procédure en trois étapes repose entièrement sur les responsables de traitement qui doivent s’assurer de la protection adéquate des données personnelles, notamment au travers d’accords contractuels dont on sait qu’ils sont fréquemment le fruit d’un rapport de force, souvent asymétrique, notamment avec les GAFAM.
Deux remarques s’imposent. D’une part, le fait que le Comité Européen de la Protection des Données ait jugé opportun, dès le 23 juillet, de diffuser une FAQ[45] au sujet de l’arrêt du 16 juillet 2020, puis deux recommandations, est significatif tant de la complexité du sujet, que de l’ampleur des enjeux en cause. Par ailleurs, la consultation conduite au sujet d’une nouvelle version des CCT[46] manifeste la prise de conscience que celles actuellement applicables[47] ne sont peut-être pas à la hauteur des attentes, bien que leur « juridicité » ait été néanmoins préservée par l’arrêt Schrems II.
On notera que le Comité européen de protection des données (EDPB) et le Contrôleur européen de protection des données (EDPS), consultés au sujet de la réforme des CCT, ont rendu en janvier 2021 un avis réservé[48]. Ils estiment que ces nouvelles clauses contractuelles manquent de clarté, notamment au regard des articles 28 et 29 du RGPD[49], tandis qu’un effort de clarté doit être fait en ce qui concerne les rôles et responsabilités du responsable de traitement, du sous-traitant et du sous-traitant ultérieur.
2. Les deux recommandations du CEPD
Sans entrer dans le détail de ce document, nous retiendrons les points suivants.
2.1. Recommandations 01-2020
a. Quelle juridicité ?
Tout d’abord, le CEPD a dénommé ses documents « recommandations »[50] et non pas lignes directrices. Faut-il y voir une modulation de la normativité de ces productions par rapport aux lignes directrices, lesquelles en étaient en principe dépourvues[51] ? Un début de réponse réside dans les distances prises par le CEPD avec le RGPD. Alors que ce dernier favorise une approche par les risques reposant sur le principe d’accountability, les recommandations semblent adopter une posture toute autre, fixant au passage des principes prescriptifs.
Notamment, le paragraphe 48 évoque un postulat qui est celui que « les mesures contractuelles et organisationnelles ne suffisent généralement pas à surmonter l’accès aux données à caractère personnel par les autorités publiques du pays tiers (lorsque cela interfère de manière injustifiée avec les obligations de l’importateur de données d’assurer l’équivalence essentielle) ». Ce qui semble postuler qu’en tout état de cause la solution est presque exclusivement à rechercher dans des solutions de chiffrement, préemptant ainsi le résultat des analyses d’impact qui doivent être conduites. Quelle est l’utilité de la consultation conduite au sujet de nouvelles clauses contractuelles types[52], le chiffrement apparaissant comme une panacée[53] ?
Une fois encore, le projet de recommandations ne laisse la place à aucune approche par les risques, ne distinguant pas selon les finalités ou les différentes catégories de sensibilité des données, pas plus d’ailleurs qu’il n’évoque la moindre proportionnalité entre les mesures de remédiation et la réalité de l’exposition au risque, la seule potentialité d’un accès « non conforme » étant suffisante.
Quoi qu’il en soit, ces recommandations peuvent être envisagées par les superviseurs nationaux comme constituant des normes professionnelles dont le respect pourrait être apprécié, voire sanctionné.
b. Six étapes d’analyse et trois catégories de mesures correctives
Les recommandations 01-2020 proposent un examen en six étapes. Tout d’abord, est demandée la connaissance par l’entreprise de ses transferts (§ 8 à 13), puis la vérification du caractère adéquat des motifs des transferts (§ 14 à 20). Vient ensuite une troisième étape qui est l’évaluation des législations ou « pratique » des pays tiers pouvant avoir une incidence sur l’efficacité des garanties appropriées des outils de transfert utilisés (§ 28 à 44). La quatrième étape est aussi délicate, puisqu’il s’agira de déterminer les mesures supplémentaires nécessaires pour assurer un niveau de protection des données personnelles substantiellement adéquat (§ 45 à 54).
Ces étapes franchies avec succès, reste une cinquième étape qui consiste en la prise de toutes les mesures procédurales formelles que l’adoption de mesures complémentaires peut nécessiter, en fonction de l’article 46 du RGPD (CCT, BCR, code de conduite…) (§ 55 à 57). La dernière étape constitue en une réévaluation, à intervalles appropriés, du niveau de protection des données (§ 62 à 63), dans une approche classique et conforme aux principes de protection des données, dès leur conception imposés par le RGPD[54].
À ces six étapes répondent trois types de mesures complémentaires aux CCT. Tout d’abord, des mesures techniques, qui peuvent consister notamment en un chiffrement strict ou bien encore la pseudonymisation. Sont également envisagées des mesures contractuelles additionnelles tendant, une fois encore, à imposer le chiffrement ou bien encore, à instaurer une obligation d’alerte du sous-traitant en cas de demandes des autorités locales, la mise en place d’une veille réglementaire relative à ces sujets est évoquée (§ 5 et 109 notamment).
Enfin, viennent les mesures organisationnelles, minimisation des données, accountability stricte, adoption de standards internationaux… On notera à cet égard que si le RGPD énonce un principe de minimisation des données (art 5) et plus globalement de protection des données par défaut (art. 25), c’est au titre d’un principe général applicable au traitement des données et non s’agissant spécifiquement des transferts de données personnelles.
On soulignera que, parmi les cas de figure envisagés, deux sont identifiés comme ne permettant pas d’assurer une protection suffisante de données. D’une part, s’agissant de fournisseurs de cloud qui exigeraient d’avoir un accès aux données, ou bien encore en présence du « pouvoir accordé aux autorités publiques du pays destinataire pour accéder aux données transférées va au-delà de ce qui est nécessaire et proportionné dans une société démocratique » (§ 88 recommandations 01-2020). L’autre cas, est celui des accès à distance aux données à des fins professionnelles, dont un exemple typique est le transfert entre sociétés d’un même groupe ou appartement à un groupe d’entreprises exerçant une activité économique commune.
Au-delà de cette présentation formelle de ces deux recommandations, que faut-il globalement en penser des recommandations 01-2020 ?
c. Quelle portée pratique ?
• Une application immédiate
Tout d’abord, il est rappelé que la décision d’invalidation du Privacy Shield est d’application immédiate, sans délai de grâce particulier (§3 de la FAQ[55]), affirmation en complet décalage avec la réalité opérationnelle et de l’importance stratégique du sujet. Cette immédiateté est également rappelée dans les recommandations du 10 novembre 2020 (infra). À dire vrai, le caractère absolu d’une telle urgence laisse songeur en ce qui concerne le maintien de la validité des CCT. On recherchera vainement les arguments juridiques permettant d’affirmer qu’elles constituent un élément de protection d’une efficacité supérieure au Privacy Shield.
Si toutefois les clauses contractuelles, actuellement objets d’une consultation, apportent les garanties espérées, leur mise en œuvre nécessitera un délai, pour au moins deux raisons. Tout d’abord, les entreprises devront réaliser une évaluation de l’impact des transferts sur la protection des données, au cas par cas, à l’aune de ces nouvelles clauses. Dans le même temps, les sous-traitants, et les éventuels sous-traitants secondaires en cas de transferts ultérieurs, devront se mettre au diapason desdites clauses. N’oublions pas enfin que ces CCT ne sont pas « hors sol » et qu’elles s’intègrent dans des ensembles contractuels plus larges, dont la modification peut s’avérer complexe et coûteuse. À cet égard, selon une enquête de DigitalEurope[56], neuf entreprises sur dix ayant réévalué leur utilisation des CCT dans le contexte de Schrems II estiment le coût de cette opération de modéré à élevé.
• Exportateur des données : un usage raisonné des exceptions prévues à l’article 49 du RGPD
Par ailleurs, le CEPD estime nécessaire « d’établir au cas par cas si les transferts de données doivent être considérés comme “occasionnels” ou “non occasionnels” ». À cet égard, un recours systématique aux exceptions prévues de l’article 49 est à proscrire. Ce même CEPD, dans ses lignes directrices 2/2018 relatives aux dérogations prévues à l’article 49[57], estime que les dispositions de cet article « doivent être interprétées de manière à ne pas contredire la nature même des dérogations, qui sont des exceptions à la règle qui veut que les données à caractère personnel ne peuvent être transférées vers un pays tiers à moins que ce pays offre un niveau adéquat de protection des données ou que des garanties appropriées soient mises en place » (page 5).
• Exportateur des données : un audit du droit applicable à l’importateur de données
Les recommandations, comme la FAQ, rappellent (§ 9) qu’il incombe au responsable de traitement et au sous-traitant d’évaluer si le niveau de protection requis par le droit communautaire est respecté dans le pays tiers concerné. On doit s’interroger sur une telle demande. Est-ce bien aux entreprises de se livrer à pareille analyse des ordres juridiques des pays dans lesquels sont implantés leurs sous-traitants, au risque de divergences d’appréciations qui feront que tel pays sera considéré comme « équivalent » pour l’un, alors qu’il ne le sera pas pour tel autre ?
D’ailleurs, sur quoi portera cet audit ? Sur l’état du droit en matière de dispositions sécuritaires ou bien sur les « pratiques » ainsi qu’y invite le § 29 des recommandations[58] avec la question de ce que recouvre cette dernière notion ? Nous avons vu plus haut que l’indépendance des juridictions est un critère important d’évaluation de la compatibilité d’un droit avec la protection des données personnelles. À cet égard, dans ses recommandations 02-2020, le CEPD souligne la nécessité d’une évaluation de la loi applicable du pays tiers impliquant de se « concentrer sur la question de savoir si elle [la législation de l’UE] peut être invoquée par les particuliers devant un tribunal » (§ 27).
Dès lors, faut-il se lancer également dans un exercice qui conduirait à apprécier le niveau d’indépendance, si ce n’est de la justice, du moins de ceux qui sont chargés de l’appliquer ? In fine, pareil audit ne saurait avoir de sens que s’il est placé sous l’autorité des États eux-mêmes et, mieux encore, sous l’égide de l’Europe. Se posera alors la question, toute diplomatique, du contenu de telles analyses. Cette question apparaît d’autant plus cruciale que le différentiel entre l’énoncé de la loi et son application pratique par les tribunaux peut s’avérer très importante dans certains pays.
À cet égard, si l’arrêt Schrems II concernait le droit américain, il est patent que le principe posé par la CJUE est applicable à l’égard de tout pays hors de l’Espace Économique Européen, ce qui démultiplie le nombre d’analyses juridiques potentielles à mener.
• Exportateur des données : le chiffrement des données : les transferts vers les États-Unis
La question qui se pose est de savoir si le chiffrement asymétrique et systématique de toutes les données est économiquement et techniquement une solution qui peut être envisagée. En ce qui concerne le droit US, le CEPD (§ 44 des recommandations 01-2020) adopte une position stricte s’agissant de la section 702 du FISA Act qui « ne respecte pas les garanties minimales résultant du principe de proportionnalité en droit communautaire et ne peut être considérée comme limitée au strict nécessaire ».
La conclusion du CPED est tranchée : « En conséquence, si l’importateur de données ou tout autre destinataire auquel il peut communiquer les données relève de la norme 702 FISA, les CTT ou les autres outils de transfert de l’article 46 du RGPD ne peuvent être utilisés pour ce transfert que si des mesures techniques supplémentaires rendent l’accès aux données transférées impossible ou inefficace. Une fois encore, la question de la sensibilité des données n’est pas évoquée, les mesures techniques complémentaires devant s’appliquer à tout transfert de données personnelles.
À titre d’exemple, on notera qu’en principe le CLOUD Act est encryption-neutral [59], mais en pratique le secrétaire d’État à la sécurité intérieure des USA, entre autres, a pu s’émouvoir de telles pratiques[60].
• Exportateur des données : l’efficacité de la pseudonymisation[61] et du chiffrement
On soulignera que seule la pseudonymisation est abordée et non l’anonymisation, ce qui est logique, les données véritablement anonymisées échappant au cadre du RGPD. Les recommandations (§ 80-4) évoquent, parmi les cas d’usage, la pseudonymisation des données. Cette pseudonymisation doit être précédée d’une analyse approfondie des données « tenant compte de toute information que les autorités publiques du pays destinataire pourraient détenir », de telle sorte que les données à caractère personnel pseudonymisées ne puissent être attribuées à une personne physique identifiée ou identifiable, même si elles sont recoupées avec de telles informations. La question qui se pose est de savoir si une telle mesure sera estimée suffisante au regard des moyens techniques à la disposition des autorités des États tiers.
Ainsi, en matière de chiffrement, les recommandations (§ 79) visent la robustesse contre la cryptanalyse effectuée par les autorités du pays destinataire, cette dernière étant évaluée compte tenu des ressources et des capacités techniques (par exemple, la puissance de calcul pour les attaques par force brute[62]). On peut émettre des doutes sur la faisabilité d’une telle évaluation, compte tenu du fait que les capacités de cryptanalyse d’un État sont la plupart du temps tenues secrètes et protégées par de strictes obligations (secret défense, etc.), rendant très difficile, voire impossible, une évaluation claire.
Il suffit, pour s’en convaincre, de s’intéresser à l’histoire de la cryptographie asymétrique. Traditionnellement, on fait remonter l’invention de ce type de cryptographie à 1976 avec la publication de « News Directions in Cryptography » par Whitfield Diffie et Martin Hellman. Toutefois, il convient de garder en tête que divers articles classifiés secrets ont été rédigés au GCHQ[63] pendant les années 1960 et 1970 et ont finalement conduit à des algorithmes essentiellement identiques à ce que proposeront Diffie et Hellman quelques années plus tard, à la différence près que les travaux du GCHQ n’ont été déclassifiés que récemment…
Si l’on considère la course à l’ordinateur quantique engagée par les services de renseignements électroniques des différents pays du monde, donner un pronostic à l’instant « t » sur leur capacité réelle de déchiffrement s’apparente, actuellement, au fait de se livrer à l’hépatoscopie ou lecture des entrailles des animaux.
• Importateur de données : un devoir de coopération renforcé
Les recommandations renforcent l’obligation de coopération de l’importateur de données, notamment au travers d’une obligation d’information rapide de l’exportateur d’une éventuelle incapacité à respecter les engagements contractuels (§ 107).
Par ailleurs, l’importateur pourrait s’engager à contrôler, en vertu du droit du pays de destination, la légalité de toute ordonnance de divulgation de données, notamment si elle reste dans les limites des pouvoirs accordés à l’autorité publique requérante, et à contester l’ordonnance si, après une évaluation minutieuse, il conclut qu’il y a des raisons, en vertu du droit du pays de destination, de le faire (§ 114). Bien entendu, tout ceci est sous réserve que cette obligation soit compatible avec le droit applicable audit importateur.
Le § 84 des recommandations évoque quant à lui l’existence de portes dérobées [back doors] dans le matériel ou les logiciels et affirme la nécessité de leur éradication, le § 103 ne visant que des back doors [64] « délibérément installées ». Quid toutefois de celles mises en œuvre par les services de renseignement ? On notera que, sollicitée par un groupe de sénateurs mené par le démocrate Ron Wyden, la NSA a refusé de révéler sa politique en la matière[65]. Dans de telles conditions que vaut la clause évoquée aux § 105 des recommandations relatives au fait que la législation nationale, ou bien la politique gouvernementale, « n’oblige l’importateur à créer ou à maintenir des portes dérobées ou à faciliter l’accès aux données à caractère personnel ou aux systèmes, ni à être en possession ou à remettre la clé de cryptage ».
Les recommandations précisent également que, si le droit national du pays tiers le permet, le contrat pourrait renforcer les obligations de transparence de l’importateur en prévoyant un « warrant canary »[66], c’est-à-dire un engagement de publication régulière (par exemple toutes les 24 heures) d’un message signé cryptographiquement informant du fait, qu’à une certaine date et heure, aucune commande de divulgation de données à caractère personnel ou autres n’a eu lieu (§ 110). Pareille précaution est toutefois sujette à une réserve importante qui réside dans le fait que la réglementation du pays tiers permette de délivrer cette forme de notification[67]. Ainsi, les assignations à comparaître, telles que celles couvertes par 18 USC § 2709 (c) du USA Patriot Act, prévoient des sanctions pénales pour la divulgation de l’existence de l’assignation à un tiers, y compris les utilisateurs.
2.2. Recommandations 02-2020
Les recommandations 02-2020 abordent les quatre exigences légales permettant de rendre « justifiables » les limitations aux droits à la protection des données et à la vie privée. Ces exigences sont tout d’abord un traitement fondé sur des règles claires, précises et accessibles, la seconde est la vérification et la démonstration d’une nécessité et d’une proportionnalité par rapport aux objectifs légitimes poursuivis. La troisième repose sur la vérification de mécanismes de contrôle indépendants et enfin, la vérification de recours efficaces pour les individus.
Ces quatre garanties doivent être considérées comme des éléments essentiels devant figurer lors de l’évaluation du niveau d’interférence avec les droits fondamentaux à la vie privée et à la protection des données. « Elles ne doivent pas être évaluées de manière indépendante, car elles sont étroitement liées, mais de manière globale, en examinant la législation pertinente en relation avec les mesures de surveillance, le niveau minimum de garanties pour la protection des droits des personnes concernées et les recours prévus par le droit national du pays tiers » (§ 48 des recommandations).
S’il est hasardeux de vouloir conclure sur ce sujet, du moins peut-on tenter de résumer la situation. Les exportateurs de données assument l’entière la responsabilité de l’évaluation des conditions de transferts de données hors de l’UE. Cette responsabilité est globale et porte, non seulement sur l’appréciation des voies et moyens contractuelles, techniques et organisationnelles adéquats pour sécuriser ces envois, mais également sur l’évaluation de la compatibilité réglementaire du droit du pays d’accueil de ces données avec le régime européen de protection des données.
Les recommandations du CEPD ne font que confirmer cette situation, soulignant au passage que le droit américain, au centre de la décision Schrems II, demeure difficilement compatible avec les mesures de remédiation envisagées. Lorsque l’on sait les parts de marchés détenus par les prestataires, notamment de cloud computing, sous juridiction américaine, ce constat est particulièrement troublant. Ce qui vaut aujourd’hui pour les États-Unis, vaudra sans doute demain pour d’autres ordres de juridictions, dont notamment la Chine, cette dernière étant très active dans ce domaine.
On peut appeler de ses vœux une réaction politique, qui ne se conçoit qu’au niveau européen, mais on peut redouter que le calendrier des instances européennes ne soit pas celui des entreprises. Par ailleurs, la Commission européenne échaudée par deux fois, hésitera sans doute à proposer un « Safe Shield »ou un « Privacy Harbour » qui se heurtera vraisemblablement aux mêmes écueils que ses devanciers.
Si cette impasse pose aux entreprises européennes des difficultés à la hauteur des enjeux économiques en cause, il n’est pas certain que cette situation soit vue d’un très bon œil par les prestataires. D’une part, la préoccupation à l’égard de la protection des données n’est pas l’apanage de l’Europe et le RGPD a fait école. La protection des données personnelles comporte un enjeu réputationnel évident qui incite à la réflexion. Par ailleurs, les GAFAM étant fortement contestées pour leur comportement en matière de concurrence pourraient saisir l’opportunité d’une attitude conciliante dans ce domaine.
À cet égard, on notera avec intérêt une prise de position de Microsoft. Le 19 novembre, sur son blog[68], Julie Brill, vice-présidente corporate en charge de la vie privée et des affaires réglementaires, a indiqué que désormais les requêtes gouvernementales envers des données de clients du secteur public et privé seraient contestées, « quand il y a une base légale ». Microsoft s’engage par ailleurs à donner une compensation financière si elle était contrainte de divulguer des données à un gouvernement en violation du RGPD. Baptisées « Defending Your Data », ces mesures vont être incorporées « immédiatement » par Microsoft. Cette déclaration est-elle un pur effet marketing qui n’engage que ceux qui y accorderont foi ou bien fera-t-elle école ? En tout état de cause elle amène immanquablement à se poser une question.
Et, si contre toute attente, du brouhaha issu de Schrems II, de l’embarras évident des autorités européennes de protection des données, et des doutes que tout ceci fait planer sur des relations à forts enjeux économiques, naissait un rapprochement des points de vue entre prestataires (notamment américains) et responsables de traitement ? Certes, ce rapprochement serait-il marqué du sceau de l’asymétrie économique, certes ne règlerait-il pas les questions d’incompatibilité de législations et enfin, l’angélisme ne pourrait être certes de mise[69]. Alors pure utopie ? Pas plus, sans doute, que la supputation divinatoire des capacités de cryptanalyse des États. Peut-être pourrait-on en attendre de ceci un minimum de pragmatisme, ce qui serait, au vu des circonstances, appréciable.
Enfin, un élément de contexte est à prendre en considération. L’adoption d’une loi fédérale américaine sur la protection des données personnelles[70] est envisagée, seuls certains États, telle notamment la Californie (California Consumer Privacy Act [71]), disposant de législations protectrices. Sous la pression d’un nombre croissant de violations de données, mais aussi de celles exercées sur des champions nationaux contraints de se plier (avec plus ou moins de bonne volonté) à des législations étatiques protectrices, l’idée d’une telle loi fait son chemin. Certes ce dernier sera semé d’embûches, et restera à démontrer que la protection des données du point de vue des États-Unis est la même que celle du point de l’Europe, une posture purement indemnitaire par exemple, pouvant l’emporter sur une posture préventive.
[1]. Arrêt dans l’affaire C-362/14 Maximillian Schrems c/ Data Protection Commissioner (arrêt Schrems I).
[2]. Décision d’exécution 2016/1250 de la Commission du 12 juillet relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis – Cadre applicable depuis le 1er août 2016.
[3]. Opinion 01/2016 on the EU – U.S. Privacy ShieldPrivacy Shield draft adequacy decision.
[4]. https://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619.
[5]. Report from the Commission to the European Parliament and the Council on the third annual review of the functioning of the EU-U.S. Privacy ShieldPrivacy Shield - SWD(2019) 390 final.
[6]. Arrêt dans l’affaire C-311/18 Data Protection Commissioner c/ Maximillian Schrems et Facebook Ireland (arrêt Schrems II).
[7]. § 105 de la décision Schrems II.
[8]. Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
[9]. Contrats types validés par la Commission Européenne permettant le transfert de données personnelles d’un « exportateur » européen vers un « importateur » non européen - Article 46 (2) c) et d) du RGPD) - Les CCT ont été adoptées le 5 février 2010 pour les transferts de données personnelles entre un responsable du traitement et un sous-traitant (2010/87/UE) et le 27 décembre 2004 pour les transferts de données personnelles entre deux responsables du traitement (2004/915/CE).
[10]. S’agissant des transferts des données personnelles vers un sous-traitant.
[11]. Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679 publiées le 25 mai 2018, issues du Comité européen de la protection des données (remplaçant du G29). spéc. p. 10 § 2.4 : « According to Article 49 (4), only public interests recognized in Union law or in the law of the Member State to which the controller is subject can lead to the application of this derogation ».
[12]. Adoptés en Grande Chambre : Affaire C-623/17, Privacy International, et affaires jointes C-5 11/18, La Quadrature du Net e.a., C-512/18, French Data Network e. a., et C-520/18, Ordre des barreaux francophones et germanophone e.a.
[13]. Respect de la vie privée et familiale et de la protection des données à caractère personnel consacrés par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union.
[14]. Arrêt C-293/12 et C-594/12du 8 avril 2014.
[15]. Directive 2006/24 du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO L 105, p. 54)
[16]. Ibid. § 37 de l’arrêt du 8 avril 2014.
[17]. Arrêts du 21 décembre 2016, Tele2 Sverige AB (C 203/15), et C 698/15, Secretary of State for Home Department/Tom Watson e.a., décision relative à la législation britannique instituant un régime généralisé de conservation des données de communications électroniques
[18]. Arrêt du 4 décembre 2015, Roman Zakharov c/ Russie, 47143/06
[19]. https://www.commerce.gov/sites/default/files/2020-09/SCCsWhitePaperFORMATTED FINAL508COMPLIANT.PDF
[20]. https://www.commerce.gov/about/letter-deputy-assistant-secretary-james-sullivan-schrems-ii-decision
[21]. « À l’instar des nations européennes et d’autres pays, les États-Unis mènent des activités de collecte de renseignements pour s’assurer que les décideurs en matière de sécurité nationale et de politique étrangère ont accès à des informations opportunes, précises et perspicaces sur les menaces que représentent les terroristes, les criminels, les cyberpirates et autres acteurs malveillants . »
[22]. Foreign Intelligence Surveillance Act (FISA) dont la section 702 permet au procureur général et au directeur du renseignement national d’autoriser conjointement, après approbation du FISC (US Foreign Intelligence Surveillance Court - tribunal de surveillance du renseignement extérieur des États-Unis), la collecte d’« informations en matière de renseignement extérieur », s’agissant de la surveillance de ressortissants non américains se trouvant en dehors du territoire des États-Unis sur la base de programmes globaux de surveillance. Y sont assujettis les fournisseurs de services de communications électroniques définis dans l’USC § 1881 comme les entreprises de télécommunications, les fournisseurs de services de communications électroniques, soit un fournisseur de services informatiques à distance, tout autre fournisseur de services de communication qui a accès à des communications électroniques ou filaires, soit au moment où ces communications sont transmises, soit au moment où elles sont stockées.
[23]. Tribunal fédéral américain ayant pour unique mission d’examiner les refus de demandes de mandats de surveillance électronique.
[24]. Délégation parlementaire au renseignement - Rapport relatif à l’activité de la délégation parlementaire au renseignement pour l’année 2014 : http://www.assemblee-nationale.fr/14/pdf/rap-off/i2482.pdf.
[25]. Supreme Court of the United States, Carpenter v. United States, No. 16-402, 585 U.S. (2018).
[26]. https://www.congress.gov/congressional-record/2020/05/13/senate-section/article/S2426-2 : Congressional Record Vol. 166, n ° 90 - Sénat - 13 mai 2020.
[27]. https://www.congress.gov/bill/116th-congress/house-bill/6172
[28]. https://lawstreetmedia.com/tech/ninth-circuit-held-that-fisa-wiretapping-violated-fisa-likely-violated-fourth-amendment/.
[29]. Données décrivant d’autres données tels que la date de sauvegarde, la taille et l’auteur du fichier, la géolocalisation…
[30]. Notamment : Cour suprême des Etats-Unis de février 2013, Amnesty et al. vs. Director of National Intelligence. Le juge Alito dans son opinion majoritaire a estimé que les intimés ne peuvent pas se fabriquer une qualité pour agir « simplement en s’infligeant un préjudice sur la base de leurs craintes d’un préjudice futur hypothétique qui n’est certainement pas imminent »
[31]. https://www.govtrack.us/congress/bills/114/hr1428/text. Cf. nos développements introductifs.
[32]. L’arrêt Schrems II souligne toutefois le manque d’indépendance de ce médiateur, désigné par le secrétaire d’État et partie intégrante du département d’État des États-Unis (§ 195 de la décision).
[33]. Opinion 23/2018 on Commission proposals on European Production and Preservation Orders for electronic evidence in criminal matters (Art. 70.1.b) - Adopted on 26 September 2018 spéc. p. 14.
[34]. CJUE 6 octobre 2015, aff. C-203/14.
[35]. Cf. arrêt Torresi, C-58/13 et C-59/13, EU:C:2014:2088, point 22.
[36]. Arrêts de la CJUE Wilson, C-506/04, EU:C :2006:587, point 51, et TDC, C-222/13, EU:2014:2265, point 30.
[37]. Arrêts de la CJUE dans les affaires jointes C-508/18 OG (parquet de Lübeck) et C-82/19 PPU PI (parquet de Zwickau) ainsi que dans l’affaire C-509/18 PF (procureur général de Lituanie).
[38]. Arrêt Mme Moulin c/ France du 23 novembre 2010 confirmant un arrêt Medvedyev c/ France du 29 mars 2010 relative à l’absence de statut d’« autorité judiciaire » du Procureur de la République. Sous le visa de l’article 5 § 3 de la Convention la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.
[39]. Décision du Conseil du 5 février 2019 autorisant l’ouverture de négociations en vue de la conclusion d’un accord entre l’Union européenne et les États-Unis d’Amérique sur l’accès transfrontière aux preuves électroniques à des fins de coopération judiciaire en matière pénale (COM 2019 – 70 final) et addendum à cet accord https://data.consilium.europa.eu/doc/document/ST-9666-2019-INIT/en/pdf.
[40]. Page 75 du rapport : http://www.europarl.europa.eu/doceo/document/LIBE-PR-642987_FR.pdf.
[41]. « Les garanties appropriées visées […] peuvent être fournies, sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle, par (c) “des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2” ».
[42]. Communiqué de presse n° 91/20 du 16 juillet 2020. https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fr.pdf
[43]. Par ailleurs, vertu de l’article 57, paragraphe 1, f), du RGPD, chaque autorité de contrôle doit traiter les réclamations que toute personne, conformément à l’article 77, paragraphe 1, dudit règlement, peut introduire si elle estime qu’un traitement de données à caractère personnel est irrégulièrement effectué.
[44]. Article 58, paragraphe 2, f) et j), du RGPD.
[45]. https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf.
[46]. https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries.
[47]. Recommandation 01-2020 sur les mesures qui complètent les outils de transfert pour assurer le respect du niveau de protection des données à caractère personnel dans l’UE - Recommandations 02-2020 sur les garanties essentielles européennes pour les mesures de surveillance.
[48]. EDPB-EDPS Joint Opinion1/2021 onthe European Commission’s Implementing Decision on standard contractual clauses between controllers and processors
[49]. Relatifs aux instructions du responsable du traitement, aux conséquences d’une alerte par le sous-traitant de la non-conformité au RGPD d’une instruction donnée par le responsable de traitement, etc.
[50]. Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data et Recommendations 01/2020on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data.
[51]. Sur l’absence de valeur normative des lignes directrices du G29, CE 27 septembre 1989, n° 74548, 74549, 74550, in JCP G, 27 juin 1990, n° 26, II, 21525.
[52]. https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries.
[53]. Cf. infra.
[54]. Cf. notamment les lignes directrices du CEPD version 2.0 adoptées le 20 octobre 2020 au sujet du « privacy by design and by default ».
[55]. https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-premieres-questions-reponses-du-cepd.
[56]. https://www.digitaleurope.org/wp/wp-content/uploads/2020/11/DIGITALEUROPE_Schrems-II-Impact-Survey_November-2020.pdf
[57]. Lignes directrices2/2018 relatives aux dérogations prévues à l’article 49 du règlement (UE)2016/679 adoptées le 25 mai 2018.
[58]. « This is not the case if the data importer is prevented from complying with their obligations under the chosen Article 46 GDPR transfer tool due to the third country’s legislation and practices applicable to the transfer . »
[59]. DOJ, White Paper, FAQ 29 : https://www.justice.gov/dag/page/file/1153466/download.
[60]. Courrier du 4 octobre 2019 à Mark Zuckerberg : https://www.gov.uk/government/publications/open-letter-to-mark-zuckerberg/open-letter-from-the-home-secretary-alongside-us-attorney-general-barr-secretary-of-homeland-security-acting-mcaleenan-and-australian-minister-f.
[61]. Article 4, paragraphe 5, du RGPD : « “pseudonymisation” signifie le traitement de données à caractère personnel de telle sorte que les données à caractère personnel ne puissent plus être attribuées à une personne concernée spécifique sans l’utilisation d’informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et fassent l’objet de mesures techniques et organisationnelles garantissant que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable. »
[62]. Méthode basée sur l’essai de toutes les solutions possibles pour déchiffrer des données.
[63]. Government Communications Headquarters, le service de renseignements électroniques du gouvernement du Royaume-Uni.
[64]. Fonctionnalité permettant un accès secret, souvent illégitime, à un logiciel.
[65]. Reuters 28 octobre 2020 : https://www.reuters.com/article/us-usa-security-congress-insight /spy-agency-ducks-questions-about-back-doors-in-tech-products-idUSKBN27D1CS.
[66]. En référence au canari que les mineurs emportaient parfois avec eux afin de savoir si l’air était vicié.
[67]. En France, l’article 245-1 du Code de la sécurité intérieure réprime pénalement « Le fait par une personne concourant, dans les cas prévus par la loi, à l’exécution d’une décision d’interception de sécurité, de révéler l’existence de l’interception ».
[68]. https://blogs.microsoft.com/on-the-issues/2020/11/19/defending-your-data-edpb-gdpr/.
[69]. Google a décidé, en février 2020, que les données personnelles des utilisateurs britanniques ne seraient plus protégées par le RGPD, mais relèveraient du cadre juridique américain : https://www.reuters.com/article/us-google-privacy-eu-exclusive/exclusive- google-users-in-uk-to-lose-eu-data-protection-sources-idUSKBN20D2M3.
[70]. Lien vers les auditions au Sénat US le 23 septembre 2020 : https://www.commerce.senate.gov/2020/9/revisiting-the-need-for-federal-data-privacy-legislation.
[71]. https://oag.ca.gov/privacy/ccpa.
