Comment transférer des données personnelles vers les Etats-Unis ?

Vous utilisez un logiciel américain dans le cadre de vos activités ? Alors vous êtes concerné par les transferts de données personnelles à l’étranger. Et ce transfert est potentiellement de nature à faire peser un risque sur votre conformité RGPD même si vous avez choisi d’héberger vos données sur des serveurs en Europe.

L’objet de cet article est d’apporter des clés de lecture sur l’état du droit en la matière et des réponses claires.

Pourquoi les transferts de données personnelles concernent toutes les entreprises ?

Pour sa gestion quotidienne, il y a de fortes chances pour que votre structure fasse appel à des sous-traitants. Il peut s’agir d’un navigateur web (par exemple Google Chrome), d’un système d’exploitation (par exemple IOs, Microsoft), d’une solution SaaS (par exemple Payfit, Mailchimp, Google Analytics) ou encore d’un hébergeur (par exemple AWS).

Pour un rapide rappel des définitions (article 4 RGPD):

• Le sous-traitant, est la personne ou l’organisme qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement (souvent d’un prestataire de services).
• Le responsable de traitement est la personne qui détermine la finalité et les moyens du traitement de la donnée personnelle.

💡 Par exemple : une entreprise A proposant un service d’envoi de newsletters utilise le fichier clients mis à sa disposition par l’entreprise B. L’entreprise A est le sous-traitant de l’entreprise B, responsable de traitement.

En pratique, le responsable de traitement fait appel à plusieurs sous-traitants qui font eux-mêmes appel à des sous-traitants en cascade si bien que les transferts de données personnelles sont quasiment inévitables.

Mais une difficulté s’ajoute lorsque le sous-traitant est d’origine américaine, ce qui est souvent le cas.

Pourquoi existe-t-il un sujet concernant les sous-traitants US ? 🕵🏻‍♂️

Dans la mesure où le responsable de traitement transfert des données personnelles à son sous-traitant, celui-ci doit naturellement présenter des garanties relatives à la protection des données personnelles (article 28 RGPD) même lorsqu’ils se trouvent en dehors de l’UE (article 44 RGPD).

Il est prévu que la Commission européenne se charge de vérifier elle-même la compatibilité de la législation de l’Etat hors UE avec la législation européenne par des “décisions d’adéquation” (article 45 RGPD). Par exemple, la Commission européenne a déjà adopté des décisions de ce type pour l’Andorre, l’Argentine, le Canada, l'Angleterre, la Suisse, Israël, la Nouvelle-Zélande et l’Uruguay.

En ce qui concerne les Etats-Unis, la Commission européenne a penché pour un accord bilatéral faisant office de décision d’adéquation avec :

• En premier lieu, le Safe Harbor qui fut invalidé par la Cour de justice de l’Union européenne (CJUE) en 2015 par l’arrêt Schrems I.
• Puis remplacé par le Privacy Shield (2016) également invalidé par la Cour de justice par l’arrêt Schrems II du 16 juillet 2020.

En 2020, comme en 2015, la Cour de justice a constaté un niveau de protection des données personnelles trop faible mis en place par le gouvernement américain.

En effet, la législation américaine autorise les services de renseignements à avoir accès à toutes les données conservées par une entreprise en vertu du Cloud Act et du Foreign Intelligence Surveillance Act (Fisa). Et le stockage des données sur le territoire d’un pays de l’Union européenne ne permet pas à une entreprise américaine de s’opposer à une demande des renseignements en raison de l’extraterritorialité des lois américaines.

Pour rappel, en l’absence de décision d’adéquation, tout transfert de données hors UE n’est pas interdit par principe puisque le RGPD prévoit plusieurs mécanismes de substitution :

• Les clauses contractuelles types (CCT) ou Standard Contractual Clauses(SCC) (article 46§2 c et d RGPD) qui sont des clauses à intégrer dans le contrat avec un sous-traitant pour encadrer les transferts de données.
• Les règles d'entreprise contraignantes (REC) ou Binding Corporate Rules (BCR) (article 47 RGPD) permettant aux multinationales implantées en Europe et en dehors, de fixer une politique de protection des données.

Ces clauses ont pour objet d’engager le sous-traitant ou la filiale hors UE à garantir un niveau de protection de données personnelles suffisant au regard du RGPD.

Si ces mécanismes sont destinés à pallier l’absence de décision d’adéquation, ils ne sont d’aucune utilité dans le cas des Etats-Unis car la possibilité pour les renseignements d’avoir accès à toutes les données conservées par les entreprises prime très largement sur ces clauses.

Depuis la remise en question du Privacy Schield en 2020, un nouvel accord entre les Etats-Unis et l’Union Européenne peine à émerger dans la mesure où le Cloud Act semble barrer la route à toute adéquation de législation.

Un nouvel accord semble malgré tout être en discussion puisque le 7 octobre dernier, Joe Biden a promulgué un nouvel Executive Order visant à introduire :

• Une limitation de l’accès par les autorités américaines aux données personnelles des européens à ce qui est nécessaire et proportionné,
• Et la création des voies de recours des personnes s’estimant lésées dans le traitement de leurs données personnelles, sans distinction de nationalité.

Si cette annonce est plutôt encourageante, l’accès aux données personnelles par les renseignements est toujours possible si bien qu’il n’est pas certain qu’un accord puisse émerger sans risquer une troisième sanction par la Cour de justice de l’Union européenne.

En l’état du droit, beaucoup d’accords commerciaux sont donc menacés laissant les acteurs européens courir un risque au regard de leur conformité.

En attendant, que faire ?

Quelles solutions pour les acteurs européens ? 🤹🏻

Depuis Schrems II en 2020, la justice française tente d’apporter une solution au cas par cas.

Google Analytics ❌

En février 2022 la CNIL a mis en demeure un gestionnaire de site web de se conformer au RGPD en raison de son utilisation de Google Analytics. L’autorité conclue a une insuffisante de protection des données personnelle par le sous-traitant car :

• Les données transférées à Google Analytics sont des données à caractère personnel.

Pour rappel, une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable (article 4 RGPD). Dès lors, seule une donnée définitivement anonymisée ne correspond plus à cette définition.

En l’espèce, même dans les cas où seules étaient transférées à Google les adresses IP des visiteurs du site (sans connexion via un compte utilisateur), cette donnée permet à elle seule  une individualisation. C’est donc une donnée à caractère personnel selon la CNIL.

• Les transferts de ces données ne sont pas conformes au RGPD.

En l’absence de décision d’adéquation, la CNIL a procédé à l’analyse des clauses du contrat liant le gestionnaire du site web et Google Analytics. En l’espèce, elle relève que malgré des garanties supplémentaires adoptées par Google Analytics, elles ne suffisent pas à exclure l’accès aux données par les services de renseignements américains.

La CNIL a donc enjoint au gestionnaire de site web de cesser d’avoir recours à Google Analytics dans le délai d’un mois.

Depuis, la CNIL a proposé une alternative à Google Analytics : l’utilisation d’un serveur mandataire, encore appelé Proxy, car cette solution permettrait d’éviter un contact entre le terminal de l’internaute et les serveurs de l’outil (sous-traitant).

Cependant, une solution proxy présente plusieurs inconvénients car :

• Elle ne permet pas d’utiliser pleinement les fonctionnalités de Google Analytics
• Et il revient au responsable de traitement, avant l’export, de pseudonymiser les données de telle sorte à ce qu’elle ne puisse pas être attribuée à une personne physique identifiable.

Leto a analysé les outils qui proposent une solution aussi efficace que Google Analytics avec la conformité RGPD en plus dans un article par ici 😊.

→ Par exemple, l’outil Matomo (anciennement Piwik) qui propose une solution open source dont les données sont stockées sur leur serveur et demeurent confidentielles.

Azure (Microsoft) ✅

Le Conseil d’Etat, dans une ordonnance du 13 octobre 2020, a validé le stockage de données de Health Data Hub sur l’hébergeur Azure proposée par Microsoft. Ce cas est encore plus symbolique dans la mesure où Health Data Hub traite de données de santé et donc potentiellement sensibles.

Bien que le Conseil d’Etat a constaté que les engagements contractuels ne permettaient pas à Microsoft de s’opposer à une demande d’accès aux données par les autorités américaines, il admet qu’en l’état de la crise sanitaire et des moyens mis à sa disposition, le responsable de traitement n’avait pas d’autres moyens techniques.

→ Ainsi, même en l’absence de conformité au RGPD, les juges s’attachent à rechercher si le responsable de traitement ne disposait pas d’autres moyens pour répondre à ses besoins.

Dans cette décision, c’est le critère qui a emporté la conviction des juges puisqu’ils ont seulement enjoint aux parties de renforcer contractuellement la protection des données.

AWS (Amazon) - Oui mais …

La société Doctolib, a été désignée en 2020 par le ministère de la Santé pour gérer la prise de rendez-vous de vaccination. Seulement, Doctolib hébergeait ses données sur les serveurs de la filiale d’Amazon AWS. Ce partenariat a été attaqué en justice en raison du transfert des données à caractère personnel vers le géant américain Amazon.

En adoptant une approche similaire, le Conseil d’Etat, dans son ordonnance du 12 mars 2021, constate d’abord qu’il existe un risque de non conformité, bien que les données soient hébergées sur des serveurs en France et en Allemagne.

Néanmoins, le Conseil d’Etat considère que ce risque est nettement réduit au regard de plusieurs éléments :

• Il ne s’agit pas de données sensibles puisque dans le cadre de la campagne de vaccination, Doctolib, et in fine son sous-traitant AWS, ne traitent que les informations relatives à la prise de rendez-vous,
• Les données sont supprimées à l’issue d’un délai de trois mois à compter de la date de prise de rendez-vous,
• L’hébergeur AWS s’engage à s’opposer à toute demande générale ne respectant pas la réglementation européenne,
• Enfin, Doctolib a mis en place un dispositif de chiffrement empêchant la lecture des données par des tiers.

NB : en l’espèce la procédure de chiffrement était effectuée par la start-up Tanker qui elle-même réservait l’unique accès à ces données chiffrées à Atos, un serveur français. Quelques mois après cette décision, Doctolib a procédé au rachat de Tanker lui permettant ainsi de renforcer la sécurisation de ses données.

Le Conseil d’Etat a donc conclu à la légalité du transfert de ces données par Doctolib au serveur AWS.

Pour conclure 🇪🇺 🇺🇸

Depuis 2020, il existe un risque pesant sur les entreprises françaises faisant appel aux services de sous-traitant hors UE et notamment américain.

Pour réduire ce risque au maximum, voici nos conseils :

→ Éviter l’utilisation de Google Analytics.

Il est préférable d’utiliser d’autres solutions de mesure d’audience comme par exemple Matomo. (Pour plus de détail sur les différentes alternatives, rendez-vous ici). Chez Leto, nous avons par exemple choisi la solution Plausible.

Si vous ne pouvez vous passer de Google Analytics, plusieurs actions sont possibles pour réduire le risque de non conformité :

• Minimiser la collecte de données ;
• Anonymiser les adresses IP ;
• Diminuer le cycle de vie des cookies Google Analytics ;
• Détailler dans votre politique de confidentialité le fonctionnement de cookies Google Analytics ;
• Veiller à l’accessibilité de la politique de confidentialité ;
• Obtenir le consentement des utilisateurs pour les cookies Google Analytics ;
• Sécuriser vos installations ;
• Rester informé sur les pratiques de RGPD.

→ Concernant l’utilisation d’autres outils opérant des transferts hors UE :

• Rappelons que les cas d’Azure (Microsoft) et d’AWS (Amazon) n’ont été déclarés conforme qu’en présence de conditions particulières qu’il faudra démontrer en cas de contrôle :
• L’impossibilité de répondre aux besoins autrement que par cet outil,
• L’absence de transfert de données sensibles. Pour plus d’information sur les données sensibles c’est pas ici.
• Une durée de conservation courte,
• Des clauses contractuelles engageant le sous-traitant hors UE à s’opposer à toute demande générale ne respectant pas la réglementation européenne,
• La mise en place d’un dispositif de chiffrement.

En cas de doute sur la conformité de votre sous-traitant au RGPD, il convient d’analyser le data processing agreement (DPA) ou accord de traitement des données. Ce document reprend les engagements de vos sous-traitants et les fameuses CCT ou REC.

C’est ce document qui vous sera demandé en cas de contrôle par les autorités françaises.

Pour plus d’accompagnement dans votre conformité RGPD, n’hésitez pas à demander une démo de notre solution 💁🏻‍♀️ !