Depuis l’invalidation du Privacy Shield par la décision de la Cour de Justice de l’Union Européenne du 16 juillet 2020, Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems[1], dite Schrems II, le transfert de renseignements personnels de l’Union Européenne vers les États-Unis, ou vers tout autre pays tiers ne bénéficiant pas d’une décision d’adéquation, est un sujet délicat. À la suite des recommandations du Comité européen à la Protection des Données[2], il manquait encore un peu de matière pour appréhender les évaluations d’impact requises. Comment faut-il les conduire et sur quels facteurs faut-il se fonder en pratique? Comment les juridictions vont les apprécier? Ce sont autant de questions que les praticiens du droit, et les entreprises, dont les activités commerciales impliquent des transferts de renseignements personnels, se posent depuis.
C’est désormais chose faite, du moins en partie. Une juridiction française a appliqué les critères de Schrems II dans le contexte de la campagne de vaccination contre la COVID-19 du gouvernement français. Si cette décision n’est pas la seule, des décisions des autorités bavaroise[3] et portugaise[4] ayant donné quelques pistes, elle a le mérite d’aller plus loin en donnant une grille d’analyse détaillée, clarifiant en cela la mise en application de ces évaluations d’impact.
La campagne de vaccination, source de la décision du Conseil d’Etat
Le Ministère des solidarités et de la Santé français a confié la gestion des rendez-vous de vaccination contre la COVID-19 à différents prestataires, dont la société Doctolib, permettant aux utilisateurs de prendre des rendez-vous dans le secteur de la santé via une plateforme en ligne.
Les requérants[5] demandent au Conseil d’État[6], plus haute juridiction de l’ordre administratif français, par requête en référé (c’est-à-dire une procédure d’urgence) de suspendre le partenariat du Ministère avec la société Doctolib en ce qu’il repose sur un hébergement des données de santé auprès de AWS Sarl (« AWS »), filiale luxembourgeoise de la société américaine Amazon Web Services, Inc. Ce partenariat serait donc incompatible avec le RGPD.
Le Conseil d’Etat rappelle tout d’abord que, selon la décision Schrems II, avant de mettre en œuvre un transfert de renseignements personnels moyennant des garanties appropriées, il convient de s’assurer que « les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d'un niveau de protection substantiellement équivalent à celui garanti au sein de l'Union européenne ».[7]
Pour évaluer ce niveau de protection, il convient notamment de prendre en compte, poursuit la plus haute juridiction administrative, (i) les stipulations contractuelles convenues entre l’exportateur des renseignements personnels et le destinataire du transfert établi dans le pays tiers concerné et (ii) en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux renseignements personnels ainsi transférés, les éléments pertinents du système juridique du pays de destination.
Le Conseil d’État rappelle ensuite que la décision Schrems II a invalidé le Privacy Shield qui permettait le transfert des renseignements personnels des l’Union Européenne vers les entreprises américaines adhérentes à cet accord.
En l’espèce, pour les besoins de l’hébergement de ses données, la société Doctolib a recours aux prestations d’AWS.
L’hébergeur ainsi choisi par Doctolib présentait les garanties suivantes :
• Il est certifié « hébergeur de données de santé » au sens du Code la santé publique;
• Les données traitées sont hébergées dans des centres de données situés en France et en Allemagne;
• Le contrat conclu entre la société Doctolib et l’hébergeur ne prévoit pas le transfert de données pour des raisons techniques aux Etats-Unis.
Malgré ces garanties, les requérants ont fait valoir que, du fait de sa qualité de filiale d’une société de droit américain, l’hébergeur peut faire l’objet de demandes d’accès à certaines données de santé par les autorités américaines, dans le cadre de programmes de surveillance fondés sur l’article 702 du Foreign Intelligence Surveillance Act Amendment Act (« FISA ») ou sur l’Executive Order 12333 – United States intelligence activites, de sorte que cet hébergement ne répondrait pas aux conditions posées par Schrems II.
Telle n’a toutefois pas été la position du Conseil d’État qui a considéré que[8] :
• Les données concernées consistent en des données d’identification des personnes et les données relatives aux rendez-vous. Il n’y a pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination dès lors que les utilisateurs de Doctolib se bornent, au moment de la prise de rendez-vous, à certifier sur l’honneur qu’ils entrent dans la priorité vaccinale.
• Ces données sont supprimées au plus tard à l’issue d’un délai de trois mois à compter de la date de rendez-vous, étant précisé que chaque utilisateur ayant créé un compte sur la plateforme peut le supprimer directement en ligne.
• La société Doctolib et l’hébergeur ont conclu un addendum complémentaire sur le traitement des données instaurant une procédure précise en cas de demandes d’accès par une autorité publique aux données traitées pour le compte de Doctolib prévoyant notamment la contestation de toute demande générale ou ne respectant pas la règlementation européenne (la version standardisée de cet addendum est accessible en ligne).
• La société Doctolib a également mis en place un dispositif de sécurisation des données ainsi hébergées par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des personnes non autorisées.
De sorte que le partenariat entre l’État français et Doctolib ne porte pas une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles.
Une décision aux conséquences majeures pour les entreprises canadiennes
Cette décision est importante pour les entreprises canadiennes parce qu’elle pose des facteurs pratiques à évaluer lorsqu’on mène une évaluation d’impact, à savoir :
• Quelles sont les données concernées par le transfert?
• Des données sensibles sont-elles concernées? Moins les données sont sensibles et plus elles sont limitées, moins le transfert est risqué à cet égard.
• Quelle est la durée de conservation des données concernées? Une durée de conservation très courte permet de limiter les risques.
• Quels sont les droits des individus au regard de ces données? Si la plateforme est accessible aux individus, ces derniers doivent pouvoir décider de supprimer leurs informations.
• Quelles sont les mesures contractuelles mises en œuvre? En l’espèce, par voie contractuelle, AWS s’engage à suivre une procédure précise en cas de demande d'accès par une autorité publique, exigeant spécifiquement qu’elle conteste les demandes d’accès des autorités publiques en plus d’en informer évidemment Doctolib.
• Quelles sont les mesures de sécurité mises en place? Ici, les données en cause ont été cryptées et la clé de décryptage a été confiée à un tiers situé en France pour empêcher la lecture des données par des tiers.
L’obligation de mettre en place des mesures supplémentaires est particulièrement prégnante si le destinataire est un fournisseur de service de communications électroniques au sens de l’article 702 du FISA. C’est ce qui a été rappelé par les autorités bavaroise[9] et portugaise[10] de protection des renseignements personnels qui ont constaté que le responsable du traitement n’avait pas évalué si des mesures supplémentaires étaient nécessaires lors du transfert de données personnelles à des prestataires situés sur le territoire américain et les transferts de ces renseignements personnels vers les Etats-Unis ont donc été suspendus. Toutefois, ces autorités n’ont pas identifié les mesures supplémentaires spécifiques qui auraient été appropriées.
En résumé, la décision française nous donne une grille d’analyse permettant d’évaluer les risques liés aux transferts. Espérons qu’elle soit suivie par d’autres.
Dans l’intervalle, faut-il espérer que les versions finales des recommandations du Comité européen de la protection des données et les nouvelles clauses contractuelles types de la Commission européenne (qui devraient être publiées dans un avenir proche) apporteront les éclaircissements nécessaires sur les incertitudes qui continuent de peser sur les entreprises à la suite de Schrems II[11]. En effet, les entreprises peuvent s’attendre à une surveillance accrue de la part des clients et des autorités de protection des données en ce qui concerne les transferts de renseignements personnels. Aussi, des évaluations d’impact devront être efficacement menées. Fasken est à votre disposition pour vous aider.
[1] CJUE, 16 juillet 2020, aff. C-311/18, Data Protection Commissioner c. Maximillian Schrems et Facebook Ireland. Voir également Foire aux questions sur l’arrêt rendu par la Cour de justice de l’Union européenne dans l’affaire C-311/18 - Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems; J. Uzan-Naulin, Safe Harbour - Privacy Shield, même combat?, Bulletin Fasken.
[2] CEPD, Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE, 10 novembre 2020; Recommandations 02/2020 sur les garanties essentielles européennes pour les mesures de surveillance, 10 novembre 2020. Voir également, J. Uzan-Naulin, Transferts de renseignements confidentiels à l’extérieur de l’UE et du Québec : une évaluation des facteurs relatifs à la vie privée... Et quoi d’autre?, Bulletin Fasken.
[3] Bavarian DPA (BayLDA), 15 mars 2021 : Bavarian DPA (BayLDA) calls for German company to cease the use of 'Mailchimp' tool | European Data Protection Board (europa.eu).
[4] CNPD, Deliberação 533/2021, 27 avril 2021, Ordem de suspensão de transferências internacionais dos dados pessoais do Censos 2021 : Census 2021: Portuguese DPA (CNPD) suspended data flows to the USA | European Data Protection Board (europa.eu)
[5] A savoir, l'association InterHop, l'association Constances, l'association Actions Traitement, l'association les Actupiennes, l'association Actup santé sud ouest, le syndicat de la Médecine générale (SMG), l'Union française pour une médecine libre (UFML), le Sndicat national des jeunes médecins généralistes (SNJMG), la Fédération des médecins de France (FMF), Mme A... D..., en son mandat de représentante des usagers du Conseil de surveillance de l'AP-HP, M. B... C..., la Fédération SUD santé sociaux et la Ligue des droits de l'Homme.
[6] CE, 12 mars 2021, Décision n° 450163
[7] Ibid., par. 5.
[8] Ibid., par. 8.
[9] Bavarian DPA (BayLDA), 15 mars 2021 : Bavarian DPA (BayLDA) calls for German company to cease the use of 'Mailchimp' tool | European Data Protection Board (europa.eu) : en l’espèce, il était question d’adresses courriels.
[10] CNPD, Deliberação 533/2021, 27 avril 2021, Ordem de suspensão de transferências internacionais dos dados pessoais do Censos 2021 : Census 2021: Portuguese DPA (CNPD) suspended data flows to the USA | European Data Protection Board (europa.eu) : il s’agissait ici de données sensibles liées à la santé et à la religion.