23 novembre 2020
En 2016, la Commission Européenne avait reconnu l’accord du Privacy Shield comme mécanisme offrant une protection adéquate pour le transfert de données personnelles de l’Union Européenne (UE) vers les entreprises américaines adhérentes.
Par un arrêt du 16 juillet 2020, la Cour de Justice de l’Union Européenne (CJUE) a invalidé cette décision, rendant ainsi illégal tout transfert de données fondé sur le Privacy Shield.
La CJUE estime en effet que le droit américain, et notamment les dispositions permettant aux autorités américaines d’accéder aux données personnelles transférées de l’UE vers les Etats-Unis à des fins de sécurité nationale, ne permet pas de garantir un niveau de protection des personnes concernées équivalent à celui requis par le droit européen.
S’agissant de la décision 2010/87/CE de la Commission Européenne relative aux Clauses Contractuelles Types (CCT), la CJUE en confirme la validité, mais note que les CCT ne peuvent être un mécanisme de transfert valable que si, en pratique, les garanties qu’elles contiennent peuvent effectivement être mises en œuvre afin d’assurer un niveau de protection des données essentiellement équivalent à celui garanti dans l’UE.
A cet égard, la CJUE rappelle que les CCT dans leur rédaction actuelle imposent à l’exportateur et à l’importateur de données, préalablement à tout transfert, de vérifier si le niveau de protection des données est respecté dans le pays tiers concerné. Elles exigent également que l’importateur de données informe l’exportateur de toute incapacité à se conformer aux CCT ou à toute mesure complémentaire ajoutée aux CCT par les parties. Dans ce cas, l’exportateur de données est tenu de suspendre le transfert de données et/ou de résilier le contrat le liant avec l’importateur.
Qu’est-ce que cela signifie en pratique pour les organismes transférant des données personnelles en dehors de l’UE ?
Suite à la décision de la CJUE, toute organisation transférant des données personnelles en dehors de l’UE, et notamment aux Etats-Unis, doit réévaluer ces transferts, les mécanismes juridiques mis en place pour les encadrer et, le cas échéant, implémenter des mesures complémentaires.
S’agissant des transferts de données vers les Etats-Unis :
Pour les transferts initialement fondés sur le Privacy Shield : Le Privacy Shield ne peut plus être utilisé comme fondement à un transfert de données vers les Etats-Unis. L’organisation doit trouver un autre mécanisme de transfert ou cesser de transférer les données vers les Etats-Unis.
S’agissant des transferts de données vers d’autres pays tiers :
Alors que l’arrêt Schrems II concernait des transferts de données vers les Etats-Unis, les conclusions de la CJUE ont des conséquences sur tous les transferts de données vers des pays tiers pour lesquels il n’existe pas de décision d’adéquation.
Pour ces transferts, comme pour les transferts vers les Etats-Unis, les organismes peuvent continuer d’utiliser les CCT et BCR, mais doivent être en mesure de démontrer – pour chaque transfert - l’efficacité de ces mécanismes au regard du droit national du pays tiers, le cas échéant en mettant en place des mesures complémentaires.
Si ces mesures ne suffisent toujours pas à garantir un niveau de protection adéquat des données transférées, le transfert devra être suspendu ou notifié à l’autorité de contrôle compétente.
Face aux nombreuses incertitudes résultant de l’arrêt Schrems II, particulièrement s’agissant des transferts de données vers les Etats-Unis, l’EDPB a adopté le 11 novembre 2020 des recommandations sur les mesures qui devraient compléter les outils de transfert pour assurer le respect du niveau de protection des données personnelles de l’UE.
Ces recommandations seront soumises à une consultation publique et seront applicables immédiatement après leur publication.
En parallèle, les CCT font l’objet d’une refonte tenant compte des conclusions de l’arrêt Schrems II.
Après l’amende de 50 millions d’euros infligée à Google par la CNIL en janvier 2019 (cf. notre Newsletter n°1), c’est au tour de l’autorité britannique de
protection des données (ICO) et du Commissaire d’Hambourg d’infliger des amendes record, confirmant ainsi que les autorités nationales n’hésitent plus à sanctionner lourdement les entreprises non conformes au RGPD.
Les 16 et 30 octobre 2020, l’ICO a ainsi infligé une amende de 20 millions de livres (environ 22 millions d’euros) à British Airways ainsi qu’une amende de 18,4 millions de livres (environ 20 millions d’euros) à Marriott, suite à des violations de données ayant rendu accessibles à des tiers de très nombreuses données personnelles de clients. Il s’agit des amendes les plus élevées infligées par l’ICO concernant des manquements aux obligations de sécurité prévues par le RGPD.
Le 1er octobre 2020, le Commissaire d’Hambourg a, quant à lui, infligé une amende de 35 millions d’euros à H&M sanctionnant l’enregistrement illégal de ses salariés et la collecte abusive de données sensibles. Cette amende est plus élevée que toutes les amendes cumulées précédemment prononcées par les autorités allemandes depuis l’entrée en vigueur du RGPD.
Le 1er octobre 2020, la CNIL a publié de nouvelles lignes directrices relatives aux cookies et autres traceurs accompagnées d’une recommandation pratique sur les modalités de recueil du consentement.
D’ici au 31 mars 2021, les entreprises utilisant des cookies et autres traceurs devront s’assurer qu’elles respectent cette nouvelle réglementation.
La CNIL précise notamment que la poursuite de la navigation sur un site ne constitue plus un consentement valable. Les utilisateurs doivent avoir la possibilité d’accepter ou de refuser les cookies par finalité et avoir accès à une liste de tous les opérateurs utilisant les traceurs déposés sur leur terminal. Il doit être aussi simple d’accepter les cookies que de les refuser.
Les entreprises concernées doivent mettre à jour leurs mentions d’information et revoir leur mécanisme de recueil du consentement, ou justifier que le traceur peut bénéficier de l’exception limitée d’exemption de consentement.
A défaut, elles s’exposent aux sanctions prévues par le RGPD, tant pour le dépôt des cookies et traceurs en lui-même que pour les traitements de données personnelles qui en découlent.
Le CEPD a adopté deux nouveaux projets de lignes directrices :
La CNIL publie une charte relative aux contrôles
La CNIL dispose de pouvoirs de contrôle auprès de tout organisme traitant des données personnelles. Ces contrôles sont encadrés par la loi Informatique et Libertés du 6 janvier 1978.
Afin d’assurer une plus grande transparence sur ces contrôles et d’en favoriser le bon déroulement, la CNIL a publié le 1er septembre 2020 une « charte des contrôles ».
Cette charte a pour objet de rappeler les droits et obligations des organismes contrôlés et précise également le déroulement et les suites d’un contrôle, quelle que soit sa forme, ainsi que les principes de bonne conduite à suivre dans cette situation.
La CNIL publie un guide relatif aux tiers autorisés
Les « tiers autorisés » sont les autorités ayant le pouvoir d’exiger la transmission de documents ou de renseignements pouvant inclure des données personnelles (par exemple : URSSAF, Direction Générale des Finances Publiques, autorités de police, auxiliaires de justice…). Face à ces demandes, les organismes concernés peuvent rencontrer des difficultés pour concilier l’obligation de répondre et la protection des données personnelles. Afin d’aider les professionnels visés par ce type de demande, la CNIL publie :
Par décision du 18 juin 2020, le Conseil Constitutionnel a censuré deux séries de dispositions relatives au régime de responsabilité des opérateurs de services de communication en ligne de la loi visant à lutter contre les contenus haineux sur internet (loi Avia).
La loi Avia prévoyait deux types d’obligations à la charge des opérateurs de site internet :
Si le Conseil Constitutionnel salue le caractère louable de l’objectif de la loi, à savoir le combat contre la prolifération des contenus haineux sur internet, il rappelle toutefois que le libre accès aux services de communication en ligne et la possibilité d’y exprimer ses idées et opinions sont le corollaire de la liberté d’expression et de communication. A ce titre, toute atteinte portée à l’exercice de cette liberté doit être nécessaire, adaptée et proportionnée à l’objectif poursuivi.
Or, s’agissant tout d’abord de l’obligation de retrait sous une heure des contenus notifiés par l’autorité administrative, le Conseil Constitutionnel relève que :
S’agissant ensuite de l’obligation de retrait sous 24 heures des contenus manifestement illicites signalés par les internautes, le Conseil Constitutionnel observe que :
Pour ces raisons, le Conseil Constitutionnel juge les dispositions en question contraires à la Constitution et les censure en ce que le législateur a porté à la liberté d’expression et de communication une atteinte qui n’est pas adaptée, nécessaire et proportionnée au but poursuivi.
A quelques rares exceptions, le cadre législatif européen relatif aux services numériques est demeuré inchangé depuis l’adoption de la directive sur le Commerce électronique du 8 juin 2000.
La Commission Européenne a donc décidé de lancer une consultation publique qui s’est clôturée le 8 septembre 2020 en vue de définir le futur corpus de règles applicables en matière de services numériques, de lancer le chantier de refonte du régime de responsabilité des prestataires intermédiaires et d’améliorer et clarifier les obligations de ceux-ci en termes de modération des contenus.
La consultation portait sur deux volets :
Un premier volet sur les grands principes posés par la directive sur le Commerce électronique, en particulier la liberté de fournir des services numériques et une large limitation de la responsabilité pour les contenus créés par les utilisateurs. Sur la base de ces principes, la Commission Européenne entend fixer des règles plus claires et modernes concernant le rôle et les obligations des intermédiaires en ligne, ainsi qu’un régime de gouvernance plus efficace pour assurer l’application de ces règles.
Un deuxième volet concernant l’égalité des conditions de concurrence sur les marchés numériques européens où quelques plateformes font office de « gardiens ». A cet égard, la Commission Européenne souhaite réfléchir à l’adoption de dispositions permettant de remédier aux déséquilibres sur ces marchés, afin que les consommateurs aient le plus large choix possible et que le marché des services numériques demeure compétitif et ouvert à l’innovation.
Les contributions récoltées guideront les propositions de la Commission Européenne concernant le paquet relatif aux services numériques, lequel devrait être publié d’ici fin 2020.
Il complétera le Règlement (UE) 2019/1150 relatif aux relations entre plateformes et entreprises (cf. notre Newsletter n°1)
Afin d’assurer une meilleure information des consommateurs sur la sécurisation de leurs données lorsqu’ils utilisent une solution numérique, le Sénat a adopté une proposition de loi visant à obliger les plateformes numériques dont le nombre de connexions dépasse un certain seuil, qui sera précisé par décret, à afficher un diagnostic de cybersécurité accompagné d’un code couleur compréhensible pour les consommateurs (par exemple un « cyberscore » inspiré du nutriscore).
La proposition prévoit que les critères pris en compte pour le diagnostic, ainsi que les modalités pratiques de sa présentation et sa durée de validité devront être précisés dans un arrêté pris après avis de la CNIL. La proposition doit être examinée à l’Assemblée Nationale prochainement.
par plusieurs auteurs
par Leonardo Pinto et Philippe Glaser
par Philippe Glaser et Leonardo Pinto