L’Arrêt Schrems II de la CJUE daté du 16 juillet 2020 est maintenant un sujet mieux connu. D’un constat de l’illégalité des transferts de données à caractère personnel vers les USA que nous avions représenté sous la métaphore du séisme, nous sommes ne sommes pas loin maintenant de celle de la disparition d’un continent. Le Comité Européen pour la Protection des Données (CEPD) a en effet publié ses recommandations depuis l’Arrêt de la CJUE. Nous faisons donc bien face à un changement de paradigme, changement qui soulève donc nécessairement plusieurs questions majeures, et qui dépasse même la question de la protection des données personnelles. Essayons d’y voir plus clair.

En effet, le CEPD a pris acte de l’Arrêt de la CJUE et a tenté d’étendre l’application de ce dernier à des cas généraux applicables aux transferts hors UE dans ses recommandations du 11 novembre 2020 (01/2020 et 02/2020). Par là même il a constitué un cadre de travail pour la production par la Commission Européenne de décisions d’adéquation de pays tiers, se basant sur une analyse fine des droits des pays en question par rapport à la Charte des Droits Fondamentaux de l’UE (basée sur la Déclaration Universelle des Droits de l’Homme), ce qui dépasse alors presque le sujet des données à caractère personnel et leurs traitements, ce qui pose également de fortes questions sur les niveaux d’adéquations de nombreux pays intra-UE.

Avant toute analyse, identifions donc les types d’approches qui restent à la disposition des responsables de traitements en matière de transfert hors-UE vers un pays dont la décision d’adéquation est toujours valide (source: European Law Blog) :

Zone grise : conserver mais atténuer le risque

La secousse est si forte que les organisations n’arrivent pas à dépasser ce nouveau cadre de pensée. L’arrêt de l’usage de services fournis par des sociétés sous la coupe de lois liberticides hors UE (ex: Amazon Web Services, les services web de Microsoft, Google, etc.) n’est pas envisageable. De nombreuses mesures indiquées dans la Recommandation 01/2020 sont presque impossibles à déployer de manière opérationnelle (cf. §44 « As a consequence, if the data importer or any further recipient to which the data importer may disclose the datafalls under 702 FISA, SCCs or other Article 46 GDPR transfer tools may only be relied upon for such transfer if additional supplementary technical measures make access to the data transferred impossible or ineffective », alors que justement l’un des moyens d’un traitement est justement de rendre ces données accessibles à son sous-traitant pour se décharger sur lui, et que le FISA est une loi étasunienne à portée extra-territoriale s’appliquant même aux filiales européennes d’une société basées aux USA et même à une Maison Mère disposant d’un établissement aux USA).

Alors les organisations concernées devraient chercher à couvrir le risque de manière économique, en prenant des assurances, en constituant des réserves, ou vont simplement ignorer ou accepter le risque tel qu’il est, éventuellement en prenant des mesures complémentaires (chiffrement, clauses contractuelles, engagements des sous-traitants…), tout en sachant que si elles peuvent réduire les impacts pour les personnes concernées comme pour elles-même, elles ne seront pour ainsi dire jamais totalement suffisantes pour couvrir réellement le risque.

Cette zone grise pour les organisations c’est potentiellement de nombreux activistes (dont les intentions porteront parfois sur les libertés publiques, parfois sur des questions de concurrence par exemple) en capacité de leur nuire (et à raison), car elles sont alors très vulnérables dans le contexte.

Cette zone grise c’est aussi un test pour l’État de Droit… Saurons-nous, en tant que population organisée, faire valoir et appliquer nos règles collectives, qui plus est quand elles visent à protéger nos libertés fondamentales ?

Zone blanche: relocaliser les données

Depuis l’Arrêt Schrems II, les voies de sortie légales des données hors UE sont presque inexistantes. De ce fait, le seul choix de droit reste la relocalisation des données dans l’UE. C’est la direction inévitablement donnée par les recommandations du CEPD.

Si ce choix est le seul « de droit », c’est également un choix périlleux pour les traitements faisant historiquement l’objet d’un transfert hors UE. Pour les nouveaux traitements par contre, cela devrait être la seule option résiduelle, et tant pis si on se passe de belles opportunités technologiques (Amazon Web Service, Google Suite, Microsoft 365…), ou de solutions faciles à déployer (ex: l’usage du moteur de recherche Google en entreprise, comme outil d’un traitement à part entière). Cela pourra coûter cher ou être plus complexe pour les organisations, parfois être digne d’un casse-tête juridique et organisationnel pour les multi-nationales (grandes ou surtout petites).

Zone « bleue » : réformer le monde pour se rapprocher des objectifs de la DUDH art.12

Cette option n’est ouverte que pour de rares organisations seules. Il s’agit là d’un défi qu’il ne sera possible de relever que collectivement, par le regroupement d’organisations, par le dialogue entre institutions, par la négociation politique internationale. C’est l’option qui amène l’Europe a changer le monde… rien que ça.

Trois leviers se présentent d’ores et déjà avec les recommandations du CEPD :

  1. Elles servent de critères d’adéquation pour les pays tiers, qui alignent leur législation sur les exigences de la Charte des Droits Fondamentaux de l’UE en matière au moins de protection des données personnelles.
  2. Elles servent d’appui pour construire une coopération bilatérale transatlantique sur la question de la préservation des droits et libertés dans un espace de plus en plus cybernétique, interconnecté et collectant les données massivement, coopération qui entraîne le monde derrière elle malgré les résistances connues d’avance de certains pays.
  3. Elles servent d’appui pour construire une coopération multilatérale, démarrant par exemple par le Conseil de l’Europe et une révision de sa convention 108 sur la protection des données puis pouvant se poursuivre aux Nations Unies.

Et derrière ce combat pour l’Article 12 de la DUDH, valant également pour nombre de pays intra-UE dont les législations romperaient également avec la Charte des Droits Fondamentaux, nous attend un combat que nous aurions du démarrer dès 2014 (et même avant) sur les articles 18 (liberté de penser) et 19 (liberté d’opinion) de la même DUDH… qui ne sont que les prolongements collectifs de la protection des données personnelles… qui pourrait prendre la forme d' »un appel à la protection des données collectives« , visant à protéger nos libertés de penser, d’action politique et syndicale, aujourd’hui une cible directe ou indirecte de choix (car très valeureuse et presque non régulée) des réseaux sociaux numériques (Facebook, Twitter, Linkedin …), des plateformes de consommation et de production (Amazon, Uber, …), mais également des États (cf. décrets du Ministère de l’Intérieur du 02/12/2020 ici, ici et ici, qui ciblent maintenant les groupes et organisations de personne, chose sur laquelle la CNIL n’est pas compétente pour donner un avis).

Et maintenant, de retour au bureau… on fait quoi ?

Face aux enjeux posés par l’Arrêt Schrems II de la CJUE et les recommandations 01/2020 et 02/2020 du CEPD, il s’agit d’appliquer les principes énoncés dans le RGPD : adopter une approche proportionnée, basée sur les risques, considérablement relevés depuis pour les transferts de données hors UE.

Nous proposons de considérer que si une décision d’adéquation de la Commission Européenne est capable de se voir déclarer illégale par la CJUE, peu voire aucune organisation privée ou publique ne peut prétendre pouvoir mettre en place des Clauses Contractuelles Type suite à une évaluation d’adéquation réalisée pour son compte, même par les avocats les plus reconnus, qui ne pourront jamais être responsables de cette décision in fine. Dans ce cadre, chaque transfert hors UE vers un pays que la Commission Européenne n’aura pas déclaré comme adéquat est un risque majeur, à évaluer de manière proportionnée aux finalités du traitement, aux volumes de données, aux menaces et aux vulnérabilités qui pèsent sur les personnes concernées…

N’oublions pas que par exemple le Japon ou Israël sont des pays qui aujourd’hui bénéficient d’une décision d’adéquation, ce qui signifie que leur législation est considérée comme protégeant de manière adéquate les droits et libertés des personnes au regard du traitement de leurs données à caractère personnel.

Notes

Article 12 de la DUDH

Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes.

Article 18 de la DUDH

Toute personne a droit à la liberté de pensée, de conscience et de religion ; ce droit implique la liberté de changer de religion ou de conviction ainsi que la liberté de manifester sa religion ou sa conviction seule ou en commun, tant en public qu’en privé, par l’enseignement, les pratiques, le culte et l’accomplissement des rites.

Article 19 de la DUDH

Tout individu a droit à la liberté d’opinion et d’expression, ce qui implique le droit de ne pas être inquiété pour ses opinions et celui de chercher, de recevoir et de répandre, sans considérations de frontières, les informations et les idées par quelque moyen d’expression que ce soit.