Transferts de données : Schrems I et II derrière la sanction de Meta

Si Meta avait mis en œuvre des mesures substantielles, la DPC a décidé qu'elles n'assuraient pas une " équivalence essentielle " pour les données à caractère personnel transférées de l'UE.

L’autorité irlandaise de protection des données (DPC) a publié le 22 mai dernier sa décision sur les transferts de données de Meta, imposant une amende de 1,2 milliard d’euros à la société américaine, sachant que cette amende aurait pu atteindre 4 % du chiffre d’affaires mondial de l’entreprise (soit 4,2 milliards d’euros).

Bien que Meta ait mis en œuvre des mesures particulièrement substantielles[1], comme en attestent son évaluation d’impact de transferts et ses mesures complémentaires, la DPC a décidé que ces mesures de protection n’assuraient pas une "équivalence essentielle" pour les données à caractère personnel transférées de l’Union européenne (UE).

Une décision alignée sur Schrems I et II

"En fin de compte, si le gouvernement américain fait une demande qui entre dans le champ d’application de la section 702 de la FISA, Meta US est tenu de divulguer les données à caractère personnel de ses utilisateurs" a déclaré la DPC.

C’est ici une approche à risque zéro qui est adoptée par la DPC, alignée sur les décisions Schrems I et II, impliquant une élimination complète des risques. Aucune mesure organisationnelle ou contractuelle n’est suffisante pour éliminer (et non plus de mitiger) le risque, et à moins de chiffrer les données dans l’UE avant le transfert et de s’assurer que l’importateur de données n’a aucune possibilité d’accéder à la clé de chiffrement, il n’y a pratiquement rien susceptible de convaincre les régulateurs de l’UE que les "mesures supplémentaires" sont suffisantes.

En outre, s’il est possible de recourir à des dérogations (sur la base de l’article 49 du GDPR) pour permettre des transferts de données, ces dérogations ne peuvent être utilisées pour des transferts de données de routine et doivent respecter "l’essence" du droit à la protection des données (citant l’article 52 [1] de la Charte des droits fondamentaux de l’UE). Mais étant donné qu’il n’existe aucun moyen de recours effectif pour les citoyens de l’UE soumis à une surveillance aux États-Unis (comme l’exige l’article 47 de la Charte), l’article 49 du RGPD ne peut être invoqué.

Le principe de consentement

Le consentement reste une solution, mais uniquement si la personne concernée est informée : "(i) que les données ne feront pas l’objet d’une protection équivalente à celle accordée par les articles 7 et 8 de la Charte, (ii) que les lois identifiées aux États-Unis interfèrent avec l’essence des droits de l’article 47 de la Charte en ce qui concerne ces données, et que (iii) des risques éventuels du transfert proposé existent pour la personne concernée". Ce consentement doit être exigé individuellement pour chaque transfert, et une autorisation globale ne serait pas considérée comme acceptable. La solution consistant à proposer une avalanche de pop-up comme nous pouvons en rencontrer pour les cookies pour les navigations web, n’a pas été abordée.

Il reste de l’espoir pour les transferts entre l’UE et les États-Unis, mais la solution est clairement politique et relève de la décision d’adéquation (qui selon les rumeurs devrait être adoptée d’ici l’été). Ce qui est plus inquiétant, c’est que cet espoir n’existe pas pour le reste du monde à ce stade, et que la localisation des données est la seule solution offerte à ce stade.

La promesse du CBPR

Pour éviter la localisation des données, un mécanisme adopté à ce jour par la Chine et la Russie, reste la promesse du Forum mondial sur les règles transfrontalières de protection de la vie privée (CBPR). Lancé il y a un an en tant qu’initiative de coopération multilatérale pour permettre des flux de données fiables à l’échelle mondiale, le CBPR cherche à se positionner comme une plateforme internationale ouverte aux juridictions qui s’alignent sur le double objectif de promouvoir à la fois les flux de données et de protéger la vie privée. Si davantage de mesures de protection des données multi-juridictionnelles venaient à être injectées dans ce modèle, le CBPR (et sa version pour les sous-traitants) pourrait devenir un mécanisme permettant les transferts de données à l’avenir.

Pour Meta, ces solutions n’ont malheureusement pas encore abouti. Par conséquent, une ordonnance de suspension plane sur les activités de Meta, avec un sursis de quelques cinq mois.

Au-delà de Meta, que signifie cette décision pour les fournisseurs de technologie américains et pour les clients de ces dernières ?

1. Les équipes de direction doivent être informées de cette décision ;

2. Il est urgent d’envisager les alternatives suivantes, en ayant à l’esprit le coût humain, social et financier des solutions suivantes :

  • Chiffrement, avec clé confiée à un tiers de confiance basé dans l’UE (à noter toutefois une décision récente utile prévoyant que l’anonymisation est recevable dès lors que le destinataire n’est pas en mesure de déchiffrer les données) ;
  • Localisation des données ;

Enfin, il faut garder à l’esprit que la minimisation des données (tout comme la protection des données) est l’affaire de tous, responsables de traitement comme sous-traitants.

In fine, il convient peut-être ici de prendre un peu de recul. Bien que monumentale, il s’agit d’une décision unique sur une période de dix ans, comparée à des millions de transferts qui ont lieu chaque seconde, quotidiennement. Il s’agit également d’une décision dont il sera fait appel.

Le risque de se voir infliger une amende similaire ou d’être contraint de cesser ses transferts doit être examiné en tenant compte du type de traitement des données et du profil de risque du fournisseur comparé aux cibles habituelles des régulateurs européens (principalement les GAFA).


[1] Mesures organisationnelles — Politique de divulgation, politique relative aux demandes disproportionnées, politique de notification, politique d’accès aux données, lignes directrices en matière d’application de la loi, rapports de transparence ; politiques de partage des données et politique de sécurité des personnes, mesures de surveillance et de notification en place entre Meta US et Meta Ireland,

Mesures techniques — Programme de sécurité de l’information, algorithmes et protocoles de chiffrement conformes aux normes industrielles (Transport Layer Security et Advanced Encryption Standard), infrastructure partagée entre Meta US et Meta Ireland, contrôles de la gestion des actifs, dispositions relatives à la gestion des appareils mobiles des employés de Facebook, mise en œuvre du chiffrement sur les ordinateurs portables de Facebook, déploiement de la protection cryptographique des mots de passe et des politiques de sécurité des tiers, etc.

Mesures juridiques — droits des tiers applicables aux personnes concernées en vertu des clauses contractuelles types (CCN), procédures de contestation des demandes de divulgation de données à caractère personnel que Meta US juge illégales, lobbying pour modifier les lois et défense des droits de ses utilisateurs, et rapports de transparence.