Le 16 juillet dernier, par un arrêt très attendu (C-311/18), la Cour de Justice de l’Union européenne (CJUE) a porté un coup sérieux à la pratique des transferts de données à caractère personnel vers des pays tiers à l’Union européenne.
Un peu d’histoire…
Cette affaire remonte au 25 juin 2013, date à laquelle monsieur Maximilian Schrems, ressortissant européen, déposa plainte auprès du Commissaire irlandais à la protection des données afin qu’il soit fait interdiction à Facebook Ireland Ltd de transférer ses données à caractère personnel vers les États-Unis.
Cette plainte mettait en avant les activités de surveillance de masse américaines, portées au grand jour à la même période par Monsieur Edward Snowden, et en particulier le fait que la réglementation en vigueur aux États-Unis n’encadrait pas suffisamment lesdits programmes, ne garantissant pas aux personnes concernées des droits équivalents à ceux reconnus au sein de l’Union européenne.
Dans un premier arrêt en date du 6 octobre 2015 (C362/14), la CJUE lui donna raison en invalidant le « Safe Harbor », mécanisme de protection mis en œuvre pour les transferts de données aux États-Unis, que la Commission européenne avait considéré comme adéquat (décision 2000/520).
À la suite de cette décision, l’autorité irlandaise, qui avait initialement rejeté la plainte en raison de l’existence du Safe Harbor, ouvrit une enquête au cours de laquelle Facebook Ireland Ltd justifia alors avoir mis en place, non plus le Safe Harbor, mais des clauses contractuelles types conformes à celles adoptées par décision 2010/87/UE de la Commission européenne, lesquelles doivent en principe donner des garanties adéquates aux personnes concernées par des transferts de données à caractère personnel dans des pays ne disposant pas du niveau de protection requis.
Cette fois, il était demandé à la CJUE de se prononcer sur la validité des clauses contractuelles types susvisées d’une part, et du « Privacy Shield », un nouveau mécanisme de protection créé entre temps par les États-Unis et la Commission en remplacement du Safe Harbor.
Invalidation du Privacy Shield
Par son arrêt du 16 juillet, la CJUE a décidé d’invalider, avec effet immédiat, le « Privacy Shield », ou plus précisément la décision (2016/1250) par laquelle la Commission européenne avait constaté que le Privacy Shield constituait un mécanisme de protection suffisant pour encadrer les transferts de données à caractère personnel aux États-Unis.
Pour fonder sa décision, la CJUE a considéré que les programmes de surveillance américains ne se limitent pas au strict nécessaire, les autorités pouvant notamment procéder à des opérations de surveillance à grande échelle qui ne respectent pas les principes de nécessité et de proportionnalité en vigueur au sein de l’Union européenne.
La CJUE relève par ailleurs que les personnes concernées ne bénéficient pas, y compris dans le cadre du mécanisme de médiation prévu par le Privacy Shield, de recours effectif leur permettant de faire valoir leurs droits devant une juridiction indépendante et impartiale en cas d’ingérence des autorités américaines, alors même que ce droit à un recours effectif est garanti par la Charte des droits fondamentaux de l’union européenne.
Des clauses contractuelles types valables, mais pas toujours suffisantes…
Concernant les Clauses contractuelles types, la CJUE a confirmé qu’elles demeuraient un mécanisme valide pour encadrer les transferts de données à caractère personnel depuis l’Union européenne vers des pays ne bénéficiant pas de décision d’adéquation. Toutefois, elle rappelle qu’en application de l’article 46 du RGDP, lesdites clauses ne sont pas dans tous les cas, à elles seules, de nature à constituer une protection suffisante, en particulier en cas de transferts de données vers des états qui, comme les États-Unis, n’encadrent pas suffisamment le pouvoir d’ingérence de leurs autorités.
À ce titre, la CJUE relève en substance que les clauses contractuelles types constituent un contrat, établi entre un responsable de traitement exportateur et un importateur de données, et que ce contrat n’est pas opposable aux autorités du pays destinataire des données ; lesdites autorités n’étant pas partie audit contrat.
Dès lors, bien que valides, les clauses contractuelles types ne constituent pas une garantie suffisante pour encadrer les transferts de données à caractère personnel depuis l’Union européenne vers des pays comme les États-Unis. En ce cas, il convient de mettre en place, en plus desdites clauses, des garanties supplémentaires.
Impact de ces décisions
L’impact de ce 2ème opus de la CJUE est loin d’être négligeable.
En effet, depuis le 16 juillet, tous les opérateurs économiques qui procédaient jusqu’alors à des transferts de données à caractère personnel depuis l’Europe vers les États-Unis sur le fondement du Privacy Shield, ont l’obligation, s’ils souhaitent poursuivre ces transferts, de substituer au Privacy Shield des garanties plus appropriées.
Or, les mécanismes de substitution pouvant être mis en place – qui sont listés à l’article 46 du RGPD et parmi lesquels figurent les clauses contractuelles types – constituent, pour la plupart, des mécanismes contractuels que la CJUE a jugé insuffisant en raison de leur inopposabilité aux autorités américaines.
La mise en œuvre de ces mécanismes de substitution doit donc s’accompagner de l’adoption de mesures supplémentaires permettant d’assurer la protection requise.
Se pose alors la question de savoir quels types de mesures peuvent, en complément des clauses contractuelles types, constituer une protection adéquate contre l’ingérence des autorités américaines.
La CJUE ne s’est pas prononcée sur cette question, et les autorités de protection des données n’ont pas encore publié d’informations sur le sujet, ce qui peut rendre la mise en conformité malaisée.
Concrètement, il paraît difficile d’empêcher techniquement les autorités américaines d’accéder aux données transitant depuis l’Union européenne vers les États-Unis, lesdites autorités procédant, comme l’a constaté la CJUE, à des interceptions de trafic sur les câbles réseaux notamment dans le cadre de programmes tels que Upstream.
A cet égard, même la mise en place des solutions de chiffrement de bout en bout pourrait être considérée comme insuffisante, du fait notamment des possibilités de déchiffrement dont disposent ou pourraient disposer certaines autorités, notamment du fait de l’émergence des technologies quantiques. De même certaines réglementations pourraient imposer aux opérateurs de communiquer aux autorités leurs clés de chiffrement, voir les interdire. On pense notamment ici au projet de loi américaine « Lawful Access to Encrypted Data Act ».
Le recours à des solutions hébergées au sein de l’Union Européenne pourrait constituer l’alternative. Toutefois, il n’est même pas certain que ceci soit suffisant en toutes circonstances, en particulier dans le cas où des traitements sont opérés à distance depuis les États-Unis, par exemple dans le cadre d’activités d’administration, de maintenance ou de support. En effet, certains traitements à distance, comme les accès impliquent techniquement un transfert temporaire et exposent donc les données. Ceci est d’ailleurs considéré comme un transfert au sens de la réglementation européenne.
Certains opérateurs économiques se demandent également s’il est possible d’adapter les mesures supplémentaires en fonction du risque pour les droits et libertés, afin notamment que l’utilisation de données à faible risque pour la vie privée des personnes ne soit pas entravée outre-mesure. Là-aussi, rien n’est moins sûr, même si l’approche par les risques, prédominante dans le RGDP et dans les clauses contractuelles types, peut le laisser penser.
Au-delà des États-Unis, ces problématiques se posent à chaque fois qu’un transfert est opéré, sur le fondement des clauses contractuelles types, vers un pays qui n’a pas fait l’objet de décision d’adéquation, et pour lequel il n’est pas possible d’établir avec certitude qu’il dispose de garanties équivalentes à celles reconnues au sein de l’Union européenne en matière d’ingérence des autorités.
Les incertitudes sur le type de mesures à mettre en place génèrent de l’insécurité, non seulement pour les personnes concernées, qui risquent de ne pas bénéficier de protection appropriée en cas de transferts de leurs données, mais aussi pour les opérateurs économiques, qui sont nombreux à rester dans l’expectative d’une mise en conformité, notamment lorsqu’ils dépendent des prestataires de service ou solutions tiers opérant en dehors de l’Union européenne, et qui risquent d’être sanctionnés.
À ce titre, la prédominance – ou quasi-monopole – des GAFAM dans des secteurs tels que la recherche, les réseaux sociaux et la publicité en ligne, rend extrêmement difficile, voire impossible d’un point de vue concurrentiel, de se passer de leurs services. Or, ces services impliquent des transferts aux États-Unis pour lesquels il n’est pas aisé, en raison notamment des incertitudes susvisées, de s’assurer que des garanties supplémentaires appropriées ont été mises en place.
Dans ce contexte, il paraît indispensable que les autorités de protection des données continuent d’accompagner les opérateurs économiques afin que les mesures requises en cas de transferts vers les États-Unis et autres pays équivalents, puissent être clairement identifiées et mises en œuvre.
Quid de l’utilisation des Services OVH ?
Pas de transferts aux États-Unis
Mis à part les services commandés directement auprès de l’entité américaine d’OVHcloud, dans le cadre de l’exécution de ses services, OVHcloud ne transfert pas les données de ses clients aux États-Unis.
En effet, les centres de données d’OVHcloud localisés aux États-Unis n’accueillent aucun des services commercialisés par les entités non-américaines d’OVHcloud ; lesdits centres de données n’étant utilisés que pour accueillir des services commercialisés par l’entité américaine d’OVHcloud. Par ailleurs, l’entité américaine d’OVHcloud n’intervient pas dans le cadre de la fourniture des services fournis par les entités non-américaines du Groupe. En particulier, aucun desdits services n’est administré depuis les États-Unis, et dès lors, aucun traitement de données associé, notamment accès, n’est opérable à distance depuis les États-Unis.
L’invalidation du Privacy Shield est donc sans impact ici.
Concernant les services commandés auprès de l’entité américaine d’OVHcloud, ils ne sont généralement pas utilisés pour traiter des données soumises à la réglementation européenne, les solutions européennes susvisés étant en ce cas privilégiées. OVHcloud États-Unis étudie néanmoins des solutions pour les clients qui pourraient être impactés.
Des transferts limités dans les autres pays
Lorsque le client choisit un service hébergé dans un centre de données OVHcloud situé dans l’Union Européenne, seules les entités européennes et canadiennes d’OVHcloud ont, dans le cadre de l’administration et de la maintenance des services, la possibilité d’opérer des traitements sur les données hébergées par les clients.
Concernant le Canada, celui-ci a fait l’objet d’une décision d’adéquation (2002/2/CE) dans le cadre de laquelle la Commission européenne a constaté que « la loi canadienne énonce l’ensemble des principes de base nécessaires à un niveau de protection adéquat pour les personnes physiques », que « l’application de ces normes est garantie par des recours judiciaires et par un contrôle indépendant exercé par les autorités », et que « les dispositions de la loi canadienne relatives à la responsabilité civile s’appliquent en cas de traitement illégal qui porte préjudice aux personnes concernées ».
De plus, OVHcloud n’a jamais reçu des autorités canadiennes de demande disproportionnée eu égard aux droits et principes fondamentaux de l’Union européenne.
Dès lors, même si ladite décision d’adéquation a une portée limitée aux activités relevant de la loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE) – ce qui a conduit OVHcloud à adopter des clauses contractuelles pour certains traitements hors champ d’application de la LPRPDE – ces constations susvisées sur les pratiques et le système juridique du Canada conduisent à considérer que la mise en œuvre de clauses contractuelles types pour les activités non soumises à la LPRPDE ne nécessite pas de mesure supplémentaire eu égard à l’ingérence des autorités.
OVHcloud a néanmoins mis en place des mesures supplémentaires conformément à sa politique de sécurité, et tente d’obtenir confirmation, notamment auprès de la Commission, de l’analyse ci-dessus. De manière générale, il serait souhaitable que la Commission procède au réexamen de l’ensemble des décisions d’adéquation qu’elle a prises avant l’entrée en vigueur du RGPD et la jurisprudence de la CJUE.
Les clients d’OVHcloud ont également la possibilité de choisir des centres de données localisés en dehors de l’Union Européenne pour héberger leurs services notamment à Singapour et en Australie. Toutefois, ces centres de données ne sont généralement pas utilisés pour traiter des données soumises au RGPD ; les centres de données européens étant en ce cas privilégiés. Néanmoins pour les clients qui le souhaitent, OVHcloud a mis en place des clauses contractuelles types. En ces cas, il convient que le client travaille, si besoin avec l’aide d’OVHcloud, à l’analyse de conformité de la solution qu’il met en œuvre dans le cadre des services d’OVHcloud.
Concernant l’utilisation des outils internes OVHcloud, qui contiennent pour certains des données relatives aux clients (données de compte client, facturation, tickets supports, données relatives à l’utilisation des services, etc.), et qui sont utilisés par les autres entités OVHcloud localisées en dehors de l’Union européenne, OVHcloud a mis en place des clauses contractuelles types en complément desquelles différentes mesures techniques et organisationnelles ont été mises en place pour limiter les transferts au maximum conformément à la politique d’OVHcloud.
En particulier, OVHcloud privilégie systématiquement l’hébergement de son système d’information au sein de l’Union Européenne. Ceci permet de ne pas opérer de transferts de masse, les transferts intervenant uniquement de manière occasionnelle et temporaire en cas d’accès à distance. Par ailleurs, les accès sont limités sur la base du principe de moindre privilège permettant d’assurer que seules les données nécessaires à la réalisation des opérations métiers légitimes sont accessibles aux opérateurs. Ces accès sont systématiquement tracés. De plus, en cas de recours à des solutions tiers, OVHcloud privilégie l’hébergement « on premise » sur ses propres infrastructures afin de garder le contrôle.
L’ensemble des mesures ainsi mises en place, combinées à la mise en œuvre d’une politique stricte en matière de réponse aux demandes d’autorités, paraissent constituer une protection appropriée eu égard aux possibles ingérences d’autorités de pays non-adéquat.
OVHcloud restera cependant très attentif aux recommandations des autorités, afin de s’assurer que son dispositif est approprié.
De plus, le groupe entreprend de réexaminer l’ordre juridique des pays dans lesquels il est présent afin d’évaluer leur conformité à la lumière de ce nouvel arrêt de la CJUE, et être ainsi en mesure d’assister au mieux ses clients.
Data Protection Officer OVHcloud