Nous tenons la saga de l’été (du moins sur le thème RGPD) : la Cours de Justice Européenne (CJUE) a annulé le 16 juillet 2020 la décision d’adéquation sur la base du Privacy Shield.
Autrement dit, l’export de Données Personnelles vers les USA sur cette base n’est plus conforme au RGPD.
Mais rassurez-vous, tant que vous n’utilisez pas un service américain (Office365, GSuite, Zoom, Webex, Salesforce, Mailchimp, AWS…) vous n’êtes pas concerné 😉
Et pour clarifier, le fait que la société US ait son datacenter en EU ne change rien à la question de fond, puisque ce qui pose problème, c’est le CloudAct, qui permet au gouvernement américain (et autres agences gouvernementales américaines) de consulter les données de tout client d’une société américaine où que cette donnée se situe.
On pourrait croire que la signature de « Clauses Contractuelles Types » permet de revenir dans le droit chemin, car celles-ci n’ont pas été formellement été annulées par la CJUE. Mais si l’on lit attentivement sa décision, il apparait clairement que signer des « Clauses Contractuelles Types » ne suffit pas à rendre le transfert de données vers les USA conforme au RGPD : « Il appartient, dès lors, avant tout, à ce responsable du traitement ou à son sous-traitant de vérifier, au cas par cas et, le cas échéant, en collaboration avec le destinataire du transfert, si le droit du pays tiers de destination assure une protection appropriée, au regard du droit de l’Union, des données à caractère personnel transférées sur le fondement de clauses types de protection des données, en fournissant, au besoin, des garanties supplémentaires à celles offertes par ces clauses ».
Autrement dit, s’assurer que les mesures prises empêcheront l’application du CloudAct. Comme un contrat (telle que les Clauses Contractuelles Types ») ne peut être opposé au CloudAct, la principale option est de chiffrer les données confiées un prestataire américain, ce qui est rarement possible.
Et cela remet notamment sur le devant de la scène la très controversée décision d’héberger la plateforme Health data hub mise en place par le ministère de la santé sur le Cloud de Microsoft, après une non moins controversée définition de la norme HDS…
Werner KLINGER
Ingénieur Conseil RGPD.
