Transferts de données à caractère personnel vers les Etats-Unis : point d’étape
Veille juridique N°55 – Janvier 2023
Transferts de données à caractère personnel vers les Etats-Unis : point d’étape. L’incertitude juridique qui pèse aujourd’hui sur les échanges de données entre l’Europe et les Etats-Unis impacte des domaines aussi concrets que la lutte contre la pénurie de logements en France ou l’utilisation de bibliothèques en ligne en Finlande.
La société Abritel a ainsi refusé de communiquer à la ville de Paris ses données de location car cette dernière utilise pour cette collecte un prestataire transférant les données aux Etats-Unis.
Le tribunal judiciaire de Paris a donné raison à Abritel dans son jugement du 30 novembre 2022.
L’autorité finlandaise de protection des données a estimé en décembre dernier que quatre villes avaient, entre autres, transféré illégalement des données à caractère personnel vers les États-Unis en utilisant Google Analytics et Google Tag Manager sur les services en ligne de leur bibliothèque publique.
La complexité des transferts aujourd’hui est principalement une conséquence des arrêts « Schrems I » et « Schrems II » de la Cour de Justice de l’Union Européenne datant respectivement d’octobre 2015 et de juillet 2020.
Ces arrêts ont invalidé les accords successifs conclus entre l’UE et les Etats-Unis sous les noms de Safe Harbour Principles et de Privacy Shield.
Dans son arrêt de 2020, la Cour a estimé que le Privacy Shield, s’il apporte en principe un niveau de protection essentiellement équivalent à celui de l’Union européenne, était en pratique rendu ineffectif par les exigences concrètes relatives à la sécurité́ nationale, à l’intérêt public et au respect de la législation américaine.
Elle a constaté que la portée des pouvoirs de surveillance des autorités américaines était excessive au regard du droit européen, et que les droits de recours des citoyens non américains auprès de juridictions indépendantes n’étaient pas garantis.
Depuis la publication de cette décision, les responsables de traitement soumis au RGPD doivent prendre des précautions particulières avant tout transfert vers les Etats-Unis.
L’utilisation de clauses contractuelles garantissant la protection des données reste une option, à condition d’effectuer des vérifications spécifiques concernant le contenu des clauses, le contexte du transfert, et le régime juridique applicable dans le pays tiers (en particulier concernant la sécurité nationale).
Si la situation présente des risques particuliers, le responsable de traitement devra prendre des mesures additionnelles.
L’année dernière, la Commission a adopté des « clauses contractuelles types » modernisées pour faciliter leur utilisation et a publié des conseils pratiques à l’intention des entreprises
Le Comité européen de la protection des données a également explicité dans ses recommandations du 18 juin 2021 les vérifications à effectuer dans le cadre d’une analyse d’impact du transfert.
De telles exigences pourront toutefois être difficiles à mettre en œuvre si le destinataire des données est en situation de position dominante.
Une solution plus simple consiste dans de tels cas à recourir à des solutions de traitement de données situées dans l’Union européenne.
Le 13 décembre dernier, après plusieurs mois de négociations avec les Etats-Unis, la Commission européenne a publié son projet très attendu de décision d’adéquation concernant le niveau de protection des données outre atlantique.
Parmi les droits dont bénéficieront les citoyens de l’UE dans le nouveau cadre légal, la Commission européenne mentionne la garantie de voies de recours permettant notamment de saisir gratuitement des mécanismes indépendants de règlement des litiges et un groupe d’arbitrage.
Elle cite en outre un certain nombre de limitations et de garanties concernant l’accès aux données par les autorités publiques américaines, en particulier à des fins de répression pénale et de sécurité nationale.
Ces garanties découlent de nouvelles règles introduites par un décret américain du 7 octobre 2022, qui répondrait aux questions soulevées par la Cour de justice de l’UE dans l’arrêt Schrems II.
Avant qu’une décision finale puisse être adoptée, le projet doit être examiné par le Comité européen de la protection des données (EDPB).
Cet examen pourrait donner lieu à une décision dans un délai d’environ deux mois.
Le projet de décision devra ensuite être approuvé par le comité des représentants des États membres de l’UE.
Le Parlement européen dispose également d’un droit de regard sur les décisions d’adéquation.
La décision finale attendue au printemps prochain apportera-t-elle les garanties espérées en matière de protection des données, là où les accords précédents ont échoué ?
Le Contrôleur européen de la protection des données (EDPS) commentait récemment le projet en des termes optimistes : « Ceci est différent de ce que nous avons vu avec le Safe Harbor. Ce n’est pas ce que nous avons vu avec le Privacy Shield. C’est quelque chose de nouveau et de très prometteur ».
Max Schrems, de son côté, a déjà fait savoir qu’il se tenait prêt à intenter une troisième action en justice si le texte ne protégeait pas effectivement les droits fondamentaux des européens.
Et aussi
France :
La start-up Lusha, accusée de siphonner les numéros de téléphone et les adresses d’emails professionnels de 1,5 million de Français, n’est pas soumise au RGPD selon la formation restreinte de la CNIL chargée de prononcer les sanctions.
Le débat portait sur l’interprétation de l’article 3(2)(b) du Règlement qui prévoit l’application du droit européen aux entreprises non basées dans l’UE dès lors qu’elles effectuent un « suivi du comportement » des personnes concernées: dans sa délibération du 20 décembre 2022, la CNIL, se distanciant des conclusions de son rapporteur, « n’estime pas que la collecte ou l’analyse en ligne de données à caractère personnel relatives à des personnes dans l’Union serait automatiquement considérée comme un » suivi » », et considère nécessaire de tenir compte de la finalité du traitement des données et, en particulier, de toute analyse comportementale ou technique de profilage ultérieure impliquant ces données.
Le 29 décembre dernier, la CNIL a infligé une amende de 5 000 000 € à TikTok pour avoir implanté des identifiants publicitaires sur les appareils des utilisateurs sans leur consentement préalable.
La bannière des cookies de TikTok a également été jugée insuffisamment informative.
Elle a également sanctionné le même jour la société VOODOO, éditrice de jeux pour smartphone, d’une amende de 3 millions d’euros pour avoir utilisé un identifiant essentiellement technique pour de la publicité sans le consentement des utilisateurs.
A rebours de la tendance actuelle, le Conseil municipal de Montpellier a décidé le 16 décembre dernier, aux termes d’un exposé concernant la reconnaissance faciale dans le cadre de la vidéosurveillance et des libertés publiques, d’interdire le « recours aux traitements automatisés d’analyse d’image sur la base des données personnelles ou individuelles » dans son espace public ».
Le projet de loi concernant l’utilisation de l’intelligence artificielle dans le contexte des jeux olympiques de 2024 a été validé par le Sénat le 24 janvier dernier.
La CNIL avait émis des observations sur ce texte, tout en constatant que plusieurs mesures allaient dans le sens de ses préconisations : déploiement expérimental, limité dans le temps et l’espace, pour certaines finalités spécifiques et correspondant à des risques graves pour les personnes, absence de traitement de données biométriques et de rapprochement avec d’autres fichiers, et décisions soumises à intervention humaine préalable.
La CNIL a par ailleurs souligné le caractère intrusif des dispositions prévoyant le traitement de données génétiques pour les analyses antidopage.
Europe :
Suite à la plainte du Conseil irlandais pour les libertés civiles (ICCL) et la décision de la Médiatrice de l’UE datée 19 décembre 2022, la Commission européenne s’est engagée à examiner le traitement par les autorités de protection des données des infractions au RGPD concernant la Big Tech.
Elle mesurera le temps que prend chaque étape de chaque procédure et son état d’avancement, et procédera à cet examen six fois par an.
Le Comité européen de la protection des données (EDPB) a mis en place un groupe de travail chargé d’examiner en détail les questions relatives aux cookies.
Dans un projet de rapport daté du 17 janvier, l’EDPB clarifie les pratiques spécifiques qui sont illégales, notamment :
- L’absence d’option de refus sur la page d’accueil
- Les cases pré-cochées
- Les liens vers l’option de refus en caractères minuscules dans un texte distinct
- Les liens vers l’option de refus en dehors de la bannière de cookies
- La revendication d’un intérêt légitime pour l’installation de cookies non essentiels
- L’absence d’une option permanente de retrait du consentement.
L’EDPB précise que ces conclusions reflètent un seuil minimal dans l’évaluation des cookies.
Elles doivent être combinées aux exigences de la directive « vie privée et communications électroniques », et lues à la lumière des autres travaux de l’EDPB sur les « dark patterns » .
La commission spéciale du Parlement européen (PEGA) chargée d’enquêter sur l’utilisation de Pegasus et autres logiciels espions de surveillance poursuit ses travaux en conduisant des études, auditions d’experts et visites d’information en Israël, en Pologne et en Grèce. Des projets de recommandations seront présentés au Parlement le 10 juin.
L’ONG EDRi a organisé le 25 janvier sa conférence annuelle, le Privacy Camp, qui rassemble défenseurs des droits numériques, activistes, universitaires et décideurs politiques autour des questions d’actualité en matière de droits humains.
Les interventions sont disponibles en ligne via le site de l’événement .
Dans un arrêt important du 12 janvier 2023 (affaire C-154/21), la Cour de justice de l’Union européenne a confirmé que le responsable de traitement a l’obligation de communiquer à toute personne qui en fait la demande la liste des destinataires exacts de ses données personnelles lorsqu’elles ont été partagées avec des tiers, et pas seulement des catégories de destinataires.
La CJUE précise dans un autre arrêt du 12 janvier (affaire C-132/21) que les recours administratifs et civils prévus par le RGPD peuvent être exercés concurremment et indépendamment les uns des autres.
Des procédures de plainte parallèles devant les autorités de protection des données (APD) et des procédures judiciaires peuvent ainsi être engagées sur une même question.
Il appartient aux États membres de veiller à ce que l’exercice parallèle de ces recours ne porte pas atteinte à l’application cohérente et homogène du règlement.
Le projet de loi britannique sur la sécurité en ligne est actuellement débattu au parlement.
Le texte qui a pour objectif de protéger les enfants identifie des contenus à risques, en particulier les contenus d’automutilation, les “ deep fakes ”, et le partage d’images intimes sans consentement, qui seront définis comme de nouvelles infractions pénales.
Ses détracteurs soulignent le manque de définition ou de précision dans le texte, ce qui permettrait des suppressions excessives de contenus et l’instauration d’une surveillance généralisée.
Le site « enforcementtracker » présente un inventaire des sanctions pécuniaires infligées par les autorités de contrôles en application du RGPD : l’année 2022 s’est soldée par un total de plus de 830 millions d’euros pour 448 sanctions, contre 1,3 milliards d’euros en 2021.
Sans surprise, c’est l’Irlande, où siègent les plus grandes entreprises technologiques, qui détient la première place avec plus de 80 % des montants de sanctions.
L’APD irlandaise a annoncé jeudi 19 janvier une sanction de 5,5 millions d’euros à l’encontre de WhatsApp, qui s’ajoute aux décisions similaires contre Facebook et Instagram.
La base juridique utilisée par WhatsApp pour traiter les données personnelles (amélioration du service et sécurité) a été jugée contraire au droit européen.
Cette décision est critiquée par la société civile qui constate que la question centrale de l’utilisation des données à des fins de publicité comportementale, marketing, fourniture de données métriques à des tiers et l’échange de données avec des sociétés affiliées n’a pas été traitée par l’autorité irlandaise, en dépit de la décision de l’EDPB publiée le 24 janvier dernier.
L’APD norvégienne a estimé qu’une société de messagerie et de logistique avait enfreint l’article 32 du RGPD en raison d’une évaluation insuffisante des risques et de l’absence de mesures de sécurité appropriées.
L’application utilisait les numéros de téléphone comme seul moyen d’authentification pour accéder au profil du client.
L’autorité espagnole a estimé que la Commission nationale contre la violence, le racisme, la xénophobie et l’intolérance dans le sport ne pouvait pas invoquer l’exception d’intérêt public de l’article 9(2)(g) du RGPD pour traiter les données biométriques des supporters de football entrant dans les stades.
L’APD italienne a infligé une amende de 20 000 € à un club sportif pour l’utilisation illégale d’un système d’empreintes digitales pour enregistrer la présence de ses employés au travail.
Elle a également infligé une amende de 1 million d’euros au fournisseur d’énergie Areti, qui avait qualifié erronément certains de ses clients de fraudeurs, les empêchant par là même de changer de fournisseur d’énergie.
L’APD estonienne a estimé que l’utilisation de caméras de vidéosurveillance pour surveiller les employés ne pouvait être fondée sur le consentement, mais uniquement sur l’intérêt légitime au sens de l’article 6(1)(f) du RGPD, à condition qu’une évaluation valable de cet intérêt ait été effectuée .
International
Le « Privacy by Design » devient une norme internationale: le 8 février, l’Organisation internationale de normalisation (ISO) adoptera la norme ISO 31700.
Celle-ci comprend 30 exigences et des conseils sur les principes de la protection de la vie privée dès la conception.
Etats-Unis : outre le développement de normes techniques (NIST Risk Management Framework) dans le domaine de la politique de l’IA, la Maison Blanche a publié un projet de charte des droits de l’IA.
Plusieurs États américains travaillent également à l’élaboration d’une législation dans ce domaine.
Le président Biden a récemment fait écho à ces recommandations dans une chronique pour le Wall Street Journal soulignant les efforts de son administration pour lutter contre la discrimination algorithmique, promouvoir la transparence algorithmique et mettre en place une législation pour la gouvernance de l’IA.
Dans le domaine de l’IA également, la Commission européenne et l’administration américaine ont signé le 27 janvier dernier un « accord administratif sur l’intelligence artificielle pour le bien public ».
L’accord a été signé dans le cadre du Conseil UE-États-Unis du commerce et de la technologie (TTC).
Microsoft a annoncé sur son blog mi-décembre relocaliser le stockage des données de ses clients européens au sein de l’Union européenne.
Ce programme ne règle cependant pas toutes les questions liées à l’accès aux données européennes par les Etats-Unis.
Le « Cloud Act » permet en effet aux autorités pénales américaines d’accéder aux données des fournisseurs de services cloud américains, sans considération du lieu où ces données sont stockées, et sans avoir à engager une procédure par la voie de l’entraide judiciaire internationale.
L’Australie est depuis plusieurs mois victime de cyberattaques visant ses agences gouvernementales et le secteur privé.
Le pays soupçonne des attaques d’origine russe et chinoise ayant pour but, via la diffusion massive de données personnelles, de paralyser les institutions et les entreprises du pays et d’affecter directement la vie des citoyens.
Il s’agit pour certains d’un avant-goût de ce qui attend les pays occidentaux, plusieurs systèmes ferroviaires allemands ayant par exemple connu d’étranges dysfonctionnements récemment.
Après l’avoir annoncé en mars dernier, le gouvernement russe se retire formellement de la Convention 108 du Conseil de l’Europe sur la protection des données ainsi que de tous les autres traités internationaux du Conseil de l’Europe.
À la suite de cette annonce, le Conseil a de son côté mis en œuvre un mécanisme formel et mis fin à l’adhésion de la Russie de manière unilatérale.
Anne Christine Lacoste
Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.