Les transferts de données personnelles vers les Etats-Unis avec Florence Gaullier, Associée chez Vercken & Gaullier et Membre du conseil d’administration de l'AFCDP.
00:00On poursuit ce Lexinside, on va parler des transferts de données vers les Etats-Unis avec le Data Privacy Framework
00:17avec mon invité Florence Gaulier, administratif chez l'AFCDP. Florence Gaulier, bonjour.
00:24Bonjour Arnaud.
00:25Alors on va faire le point ensemble sur les transferts de données vers les Etats-Unis.
00:30On va parler du Data Privacy Framework, c'est le cadre juridique justement des transferts de données de l'Union Européenne vers les Etats-Unis.
00:38Pour commencer, pouvez-vous nous rappeler les principes du RGPD en matière de transfert des données ?
00:45Tout à fait. Alors le principe de base, il est simple puisque normalement on n'a pas le droit de transférer des données personnelles de résidents européens
00:53en dehors de l'Union Européenne. Le principe étant donc une interdiction.
00:58Mais bien sûr, comme d'habitude en droit, on a évidemment des exceptions, d'autant plus que le RGPD visait aussi à faciliter les transferts de données à l'international.
01:08Et ces exceptions visent principalement à ce que lorsqu'il y a un transfert de données vers les Etats-Unis ou vers un autre Etat qu'un Etat de l'Union Européenne,
01:20que l'on s'assure par un certain nombre d'outils et de mécanismes que le pays vers lequel on va transférer les données va aboutir à une protection équivalente à celle qui existe avec le RGPD.
01:33On ne demande pas forcément à ce que ce soit totalement identique, mais il faut qu'il y ait les grands principes de protection
01:40et les mécanismes de protection des données personnelles qui existent en Europe soient à peu près équivalents dans le pays de réception des données.
01:49Alors pour bien comprendre, quand on parle de transfert de données au sens du RGPD, ça vise quoi ?
01:55Alors ça vise d'abord ce qui est évident, c'est-à-dire j'envoie des données vers un opérateur, un organisme, une entreprise qui est située en dehors de l'Union Européenne,
02:08par mail ou par n'importe quel type de mécanisme ou d'outils.
02:14Ça c'est les transferts qui sont faciles à voir et à comprendre.
02:17Mais il y a également, la notion de transfert est beaucoup plus large en fait dans le RGPD puisque la simple consultation des données depuis un État qui n'est pas dans l'Union Européenne,
02:28même si les données sont sur le territoire de l'Union Européenne, la simple consultation est déjà un transfert de données au sens juridique du terme.
02:36Ce qui veut dire justement qu'on a souvent tendance à penser qu'on est protégé et qu'on est conforme au RGPD parce qu'on héberge les données sur le territoire de l'Union Européenne.
02:49Donc par exemple, je choisis un hébergement chez AWS ou Microsoft ou Google, n'importe lequel de ces grands opérateurs américains.
02:59Et je demande à ce que ce soit sur des serveurs européens.
03:02Donc je me dis que je suis protégé, sauf qu'en fait là on a effectivement des données qui sont sur le sol européen,
03:08mais il y a des possibilités d'accès aux données depuis les États-Unis par un certain nombre de mécanismes,
03:14soit par les maisons-mères, soit par des agences américaines qui vont faire qu'il va y avoir un transfert de données
03:20par la simple consultation ou récupération des données sur le sol de l'Union Européenne vers les États-Unis.
03:27Alors il y a un outil qui définit le cadre juridique de ces transferts de données.
03:32C'est le Data Privacy Framework.
03:34On va voir ensemble de quoi il s'agit.
03:37Et la Commission Européenne a donné une décision d'adéquation avec ce Data Privacy Framework.
03:45Qu'est-ce que c'est ? De quoi s'agit-il ?
03:46Exactement.
03:47Alors comme je vous le disais tout à l'heure, normalement c'est interdit d'envoyer des données en dehors de l'Union Européenne,
03:52sauf justement s'il y a un certain nombre de mécanismes qui sont mis en place.
03:55Un des mécanismes les plus utiles en pratique, c'est lorsqu'il y a justement une décision d'adéquation par la Commission Européenne.
04:04C'est-à-dire que la Commission Européenne va vérifier le système juridique de l'État en question, va l'analyser,
04:10va s'assurer que c'est à peu près équivalent à une protection telle que celle du RGPD,
04:15et va donc décider par le biais d'une décision d'adéquation de dire « ce pays est fiable, on peut envoyer les données dans ce pays-là ».
04:24Pour les États-Unis, le système juridique tel qu'il existe ne suffit pas à être équivalent au système juridique du RGPD.
04:33Et donc il a fallu mettre en place un traité international finalement, donc le Data Privacy Framework,
04:39pour que les données des résidents européens soient protégées pratiquement de la même manière que si le RGPD s'appliquait aux États-Unis,
04:49sachant qu'on sait bien que ce sont deux systèmes juridiques qui ne se comprennent pas toujours bien,
04:53et qu'il a fallu notamment que le président Biden prenne un executive order présidentiel spécifique pour mettre en place ce Data Privacy Framework.
05:05Alors avant ce Data Privacy Framework, il y avait le Safe Harbor, le Privacy Shield, les deux ont été invalidés. Pourquoi ?
05:15Parce que ce qui s'est passé, c'est que la Cour de justice de l'Union européenne, pour chacun de ces deux accords,
05:24a considéré que la protection était insuffisante, et que finalement la Commission européenne avait été un peu trop large,
05:31en acceptant de considérer que la protection était équivalente grâce à ces accords,
05:37en particulier parce que finalement les agences de renseignement américaines pouvaient finalement assez facilement récupérer des données sur les Européens
05:46sans avoir de compte à rendre, sans qu'il y ait vraiment de recours possible pour les personnes concernées,
05:52et sans que tout ça soit suffisamment encadré par rapport à ce qui se passerait en Europe.
05:57Donc pas assez de garanties ?
05:58Pas assez de garanties, voilà exactement. Des collectes disproportionnées, pas assez encadrées,
06:04et des recours quasi inexistants.
06:07Alors aujourd'hui, le Data Privacy Framework fait aussi l'objet de critiques.
06:12Certains pointent ces fragilités. Il y a un recours du député Philippe Latombe.
06:18Concrètement, est-ce qu'on peut imaginer une invalidation du Data Privacy Framework ?
06:24Alors, on peut l'imaginer parce qu'il y a un certain nombre d'améliorations qui ont été apportées par le Data Privacy Framework.
06:33On ne peut pas le nier. Il y a effectivement des organes de contrôle qui ont été mis en place.
06:37Il y a cette executive order spécifique qui a été prise pour améliorer cette protection.
06:46Prévoir un principe de nécessité et de proportionnalité des collectes de données par les agences américaines.
06:53Donc il y a un certain nombre d'évolutions qui ont été apportées pour tenir compte des critiques des décisions de la Cour de justice de l'Union européenne
07:00concernant le Safe Harbor et le Privacy Shield.
07:03Cependant, le Comité européen de protection des données, le Parlement européen et Philippe Latombe ont relevé qu'il y a quand même des faiblesses et des fragilités dans ce système.
07:14D'abord parce qu'il repose déjà sur un executive order d'un président qui peut être très facilement remis en question aux États-Unis,
07:20y compris sans même que ce soit public. Donc il peut y avoir aujourd'hui déjà des failles dans le système.
07:26Les organes de recours, il y a un certain nombre de critiques sur leur réelle indépendance et sur l'effectivité aussi des recours
07:36puisque finalement, lorsqu'on va faire un recours dans le cadre du DPF, on risque de recevoir simplement une réponse nous indiquant
07:43qu'il n'y a pas eu de violation de données, tout va bien, sans autres explications et sans vraiment avoir les possibilités de contester
07:51ou de vérifier la réalité du traitement de la plainte qu'on aura pu faire.
07:56Donc on voit qu'il y a quelques fragilités. Rapidement, quelles seraient les conséquences pour les DPO en cas d'invalidation du Data Privacy Framework ?
08:05Alors les DPO ont déjà connu ça avec l'invalidation des deux précédents accords.
08:10La solution de repli la plus utilisée, c'est ce qu'on appelle des clauses contractuelles type,
08:14c'est-à-dire des contrats qu'on signe avec chacun des opérateurs américains ou opérateurs qui transfèrent des données vers les États-Unis.
08:25Simplement, on sait que ces clauses contractuelles type ont aussi des faiblesses puisque la Cour de justice de l'Union européenne a dit
08:30dans la décision dans laquelle elle a invalidé le Privacy Shield que ces clauses contractuelles type étaient valables,
08:37mais qu'il fallait quand même vérifier lorsqu'on exporte des données vers un pays hors de l'Union européenne,
08:43si le système juridique local va permettre une production équivalente au RGPD.
08:48Et si ce n'est pas le cas, il faut mettre en place des mesures supplémentaires, notamment des mesures techniques, contractuelles.
08:53Ce n'est pas suffisant en tant que tel.
08:55Il y a certains cas où ça peut fonctionner, mais ça veut dire qu'il faut un chiffrement des données
08:59empêchant les autorités américaines et les opérateurs américains de déchiffrer ces données,
09:05donc avec une clé de chiffrement qui est dans l'Union européenne.
09:09Et ça ne marche pas dans tous les usages qui sont concernés par ces transferts.
09:13Donc ça reste un sujet extrêmement compliqué qui fait reposer finalement sur des entités privées,
09:18des sujets qui sont plus politiques, diplomatiques et qui nécessiteraient des évolutions du système juridique américain
09:26si vraiment on souhaitait arriver à une protection équivalente à celle du RGPD,
09:30alors qu'on a des philosophies très très différentes.
09:32Donc faire reposer ça sur les entités privées, c'est quand même difficile,
09:36y compris les organismes publics de petite taille qui n'ont pas la possibilité de faire évoluer les droits d'un État.
09:42C'est le moment de conclure cette émission.
09:44Merci Florence Gaulier.
09:45Je rappelle que vous êtes administratrice au sein de l'AFCDP.
