En juillet 2020, le Schrems II Cette décision a perturbé le flux des transferts transfrontaliers de données entre l'UE et les États-Unis, invalidant ainsi l'accord UE-États-Unis. Cadre du bouclier de protection des données.
Cette décision a obligé les entreprises à recourir à d’autres mécanismes juridiques, tels que les clauses contractuelles types (CCT), pour transférer des données.
Les conséquences de Schrems II
Avance rapide jusqu'à aujourd'hui. Nous ne sommes qu'à quelques semaines du début de la nouvelle année, et déjà deux décisions importantes ont été rendues suite à l'arrêt Schrems II. Ces nouvelles décisions ont été rendues par l'Autorité autrichienne de protection des données (APD) et le Contrôleur européen de la protection des données (CEPD).
L’un de ces cas était le premier d’une série de 101 plaintes coordonnées déposées par NOYB (Ce ne sont pas vos affaires) — la société fondée par Max Schrems, l'avocat autrichien au centre de l'affaire titulaire — à la suite de Schrems II.
Le L'APD autrichienne a conclu qu'un site Web de santé basé en Autriche avait transféré illégalement des données de l'UE vers les États-Unis via l'utilisation de Google Analytics, en violation du chapitre V du RGPD.
Le deuxième cas faisait également partie de la série de 101 plaintes coordonnées déposées par NYOB. Dans ce cas, CEPD Le Parlement européen a constaté une violation de l'arrêt Schrems II relatif aux transferts de données entre l'UE et les États-Unis. Cette violation a été constatée par l'utilisation de Google Analytics et des cookies de la société de traitement des paiements Stripe sur un site web créé par cette dernière pour planifier des tests de dépistage de la COVID-19.
Le principal enseignement de ces deux décisions est qu'il existe désormais des directives claires sur l'utilisation des outils d'analyse et des cookies dans l'UE, suite à l'arrêt Schrems II. Bien que l'autorité autrichienne de protection des données ait publié un guide sur la bonne utilisation de Google Analytics en 2017-2018, celui-ci était antérieur à l'arrêt Schrems II et est donc obsolète.
L'autorité néerlandaise de protection des données rendra prochainement une décision dans une affaire similaire à celle entendue en Autriche. Par conséquent, une version actualisée du guide Google Analytics pour les États membres de l'UE est attendue.
Google Analytics et les transferts transfrontaliers
Le Comité européen de la protection des données (CEPD) a créé un groupe de travail en 2020 pour coordonner les décisions dans ces deux affaires. Le groupe de travail a délibérément sélectionné ces cas en raison de la manière dont les sites web concernés traitaient les données et des personnes avec lesquelles ils les traitaient.
Bien que les deux sites web aient utilisé Google Analytics, aucun d'eux ne contenait d'éléments transfrontaliers évidents, garantissant ainsi que les transferts supposés resteraient dans la zone de résidence du plaignant. Cela a également contribué à garantir des conclusions similaires dans les affaires, ce qui renforce la probabilité de décisions similaires dans les affaires futures.
Les résultats de ces affaires contredisent la théorie de l'approche fondée sur les risques, héritée de l'arrêt Schrems II. Cette théorie a été appliquée au cas par cas, en évaluant si les faits d'un cas individuel intéresseraient suffisamment une agence américaine pour surveiller et accéder aux données transférées depuis l'UE.
Après ces cas, les faits d’un cas individuel n’ont plus d’importance — seulement que les données ne devraient PAS être transférées de l'UE vers les États-Unis s'il existe une quelconque possibilité que le gouvernement américain puisse avoir accès à ces données. Cette constatation est pertinente pour tous les transferts de données transfrontaliers entre l'UE et les États-Unis et a un impact sur tous les transferts qui relèvent des exigences de la Article 46 du RGPD.
Cookies et données personnelles
L'APD et le CEPD autrichiens ont constaté que des données personnelles étaient traitées via les cookies Google Analytics et Stripe placés sur des sites web. Après une analyse approfondie, l'APD autrichienne a conclu que la combinaison des identifiants définis par les cookies avec d'autres éléments, tels qu'une adresse IP, pouvait conduire au traitement d'informations personnelles via l'utilisation de cookies.
Dans la seconde affaire, le Parlement européen a soutenu que les cookies Stripe étaient inactifs et que leur seul but était de faciliter le traitement des paiements, et non les tests de dépistage de la Covid-19. Le CEPD a constaté que qu'un cookie soit actif ou inactif n'a pas d'importance, tant que le numéro d'identification est placé pour marquer l'utilisateur final.
Par conséquent, si une entreprise basée aux États-Unis place un cookie sur un site Web contrôlé par une entité de l’UE, l’action constituera un transfert de données et un mécanisme juridique sera requis conformément à l’article 5 du RGPD.
SCC et mesures supplémentaires
L'APD autrichienne et le CEPD ont tous deux constaté que, lorsqu'un transfert international de données a lieu entre l'UE et les États-Unis sur la base de clauses contractuelles types, les parties doivent prévoir des « mesures complémentaires » en plus de ces clauses. Les suggestions quant à la nature de ces mesures restent vagues, faute de documentation, de preuve ou d'autres informations concernant les mesures contractuelles, techniques ou organisationnelles requises pour garantir un niveau de protection équivalent.
L'APD autrichienne a également spécifiquement constaté que certaines mesures supplémentaires pourraient être insuffisantes si elles n'éliminent pas la possibilité de surveillance et d'accès aux données personnelles par les agences américaines. Il convient de noter que c'est à ce moment-là que la théorie de l'approche fondée sur les risques de Schrems II a été officiellement rejetée.
Le CEPD a toutefois précisé que les transferts de l’UE vers les États-Unis pourraient toujours avoir lieu dans des conditions restreintes, par exemple lorsqu’une entité peut garantir que les données personnelles sont complètement anonymisées.
Enfin, ces cas démontrent que parfois DSARsLes rapports de transparence, les notifications aux consommateurs, les technologies de chiffrement et autres mesures de sécurité pourraient ne pas suffire à contrer la possibilité d'une surveillance et d'un accès aux données par le gouvernement américain. Dans certains cas, comme celui intenté contre le Parlement européen, l'arrêt total des transferts est considéré comme conforme au RGPD et à l'arrêt Schrems II.
Quelle est la prochaine étape pour les transferts de données transfrontaliers ?
Google se lance dans un important lobbying auprès de l'UE, une initiative qui suscite un certain scepticisme. L'avenir nous dira si cet exercice s'avère utile ou vain.
Les autorités de protection des données de plusieurs États membres de l’UE, dont Chypre, Malte, la Pologne et la Roumanie, devraient rendre une vague de décisions dans un avenir proche, qui seront probablement comparables à ces récentes décisions.
De telles décisions pourraient notamment entraîner l'arrêt de tous les transferts de données entre l'UE et les États-Unis. Omer Tene, associé chez Goodwin Procter et chercheur principal à l'IAPP, a déclaré que « cette décision jette un voile noir sur toute méthode envisageable de transfert légal de données entre les continents », ajoutant qu'elle aura des « implications considérables ».
Pour l'instant, les entités utilisant des entreprises américaines à des fins d'analyse doivent aborder chaque scénario avec prudence et garder à l'esprit que la simple possibilité d'un numéro d'identification de cookie constitue une violation, car il s'agit d'informations personnelles portant une empreinte numérique unique. Ceci est vrai, qu'une adresse ou un numéro IP soit tronqué ou inactif. De telles mesures n'éliminent pas la possibilité de tactiques de surveillance aux États-Unis.
Comment BigID facilite les transferts de données transfrontaliers
BigID aide les organisations identifier, gérer, et surveiller tout données personnelles et sensibles Activité, y compris les transferts de données transfrontaliers. Avec BigID, les organisations peuvent :
- Rapport et suivi partage de données avec des tiers
- Détecter les transferts de données transfrontaliers hors politique
- Données d'étiquettes et de marquage à des fins juridiques
- Attributs des données d'étiquette basé sur la résidence de la personne concernée pour les transferts intra-entreprise
- Techniques d'anonymisation pour les mesures supplémentaires nécessaires
Comprendre vos données, notamment savoir où sont stockées les données personnelles et pouvoir lier leur emplacement à une identité, constitue un excellent point de départ pour les entreprises qui pourraient avoir besoin de réagir à la suite de ces cas de transfert transfrontalier dans l'UE. Planifier un Démo BigID pour en savoir plus.