Loading...
Loading...

LES COLLECTIVITES FACE AUX TRANSFERTS DE DONNEES : Les bonnes pratiques

Accueil / Droit des Données personnelles / LES COLLECTIVITES FACE AUX TRANSFERTS DE DONNEES : Les bonnes pratiques

Invalidation du Privacy Shield par la CJUE le 16 Juillet 2020 : quelles conséquences pour les collectivités ?

La récente recommandation de la Commission Nationale de l’Informatique et des Libertés (CNIL), dans un mémoire adressé au Conseil d’État1, que soit géré, à bref délai, le Heath Data Hub par un acteur non soumis au droit américain, n’est que la démonstration des conséquences de l’invalidation cet été du « Privacy Shield » ou « bouclier de protection des données » par la Cour de Justice de l’Union Européenne (CJUE) le 16 juillet 2020, dans un arrêt dit « Schrems II2.   

En effet, chaque acteur dont l’infrastructure informatique est basée, même en partie, sur des produits fournis par des prestataires américains, y compris les plus connus (Microsoft, Google, Amazon, etc.) se voit aujourd’hui dans l’obligation urgente de contrôler la présence et la licéité de transferts de données à caractère personnel du fait du recours à de tels systèmes. Pour les organismes publics, l’aspect impératif de cet exercice est souligné par des actions et recommandations des autorités et juridictions au niveau de l’UE et de ses États-membres depuis l’arrêt Schrems II. L’actualité nous invite à constater un durcissement des acteurs institutionnels, judiciaires et associatifs ainsi que des bras de fer corrélatifs entre ces derniers, les états et les acteurs économiques.

En outre, en période de crise sanitaire, le recours au télétravail est devenu la règle et il implique souvent des solutions de visioconférences (entre autres) qui impliquent ces possibilités de transfert. Et ce, sans parler des outils et solutions bureautiques, d’hébergement, de communication, d’analyse de trafic des sites Internet etc., qui font partie des opérations quotidiennes des collectivités et qui impliquent, très souvent, des transferts de données à caractère personnel vers les États-Unis.

Or, la CJUE a mis en cause tout le système des garanties appropriées, au-delà de l’annulation de la décision d’adéquation du Privacy Shield, qui rendait possible, juridiquement, tout l’écosystème de transferts de données transatlantiques. Entre vents contraires et la nécessité économique de continuer à utiliser les seuls outils disponibles, voire incontournables, sur le marché, comment les directions juridiques, informatiques et opérationnelles doivent-elles se comporter ?

1. Le Privacy Shield, contexte et annulation

Le chapitre V du Règlement Général relatif à la Protection des Données3 (RGPD) encadre les transferts transfrontaliers de données à caractère personnel : un tel transfert de données vers un pays tiers peut avoir lieu sous réserve que ce pays assure un niveau de protection des données suffisant et approprié (constaté par une « décision d’adéquation » prise par la Commission européenne) ou, à défaut, par l’existence de garanties appropriées prévues par le RGPD et apportées par le destinataire4. Enfin, des dérogations peuvent être envisagées dans certaines situations.

Dans ce cadre règlementaire, le Privacy Shield constituait un mécanisme de transfert fondé sur une décision d’adéquation. Ainsi, les États-Unis ne bénéficiaient pas d’une décision d’adéquation globale mais partielle5, ne portant que sur des transferts de données à caractère personnel vers des entreprises adhérentes à une charte dite « Privacy Shield » (en français, « bouclier de protection des données »). De tels transferts étaient donc couverts par le régime d’adéquation, et ne nécessitaient, en principe, ni la mise en place de garanties appropriées (telles que des clauses types), ni une dérogation.

Les entreprises établies aux États-Unis pouvaient adhérer au Privacy Shield par un système d’auto-certification sous le contrôle des autorités américaines. Ce système est rapidement devenu une solution de préférence pour les opérateurs américains et leurs clients en Europe. Or, dès le début, ce mécanisme a fait l’objet de vives critiques, notamment de la part d’associations militant pour la protection de la vie privée, qui considéraient qu’il ne fournissait pas un niveau de protection adéquat contre les activités de surveillance des autorités américaines6.

Dans l’arrêt Schrems II La CJUE a procédé à l’examen du Privacy Shield au regard des exigences du RGPD, lues à la lumière de la Charte des droits fondamentaux de l’Union européenne et a considéré que deux textes de la loi américaine, la section 702 du Foreign Intelligence Surveillance Act (FISA) et l’Executive Order 12333, n’étaient pas encadrés de manière à répondre à des exigences substantiellement équivalentes à celles requises par le droit de l’Union en matière de protection des données7. En effet, la Cour a considéré que ces outils permettent l’accès des autorités publiques américaines, de façon particulièrement large et sans ciblage, à des données personnelles transférées de l’Union Européenne vers les États-Unis. Par ailleurs, la Cour précisait également que la législation américaine ne permet pas aux personnes concernées de bénéficier de droits de recours devant les autorités américaines8.

Par conséquent, la Cour en a déduit que le droit américain n’assurait pas un niveau de protection essentiellement équivalent au droit européen relatif à la protection des données à caractère personnel et a déclaré invalide la décision d’adéquation 2016/1250 du Privacy Shield, ce qui signifie, en pratique, que les responsables de traitement ne peuvent dorénavant plus fonder licitement un transfert de données à caractère personnel vers les États-Unis sur le Privacy Shield.

2. Les clauses contractuelles types également fragilisées par l’arrêt Schrems II

L’arrêt Schrems II va plus loin que l’invalidation du Privacy Shield, en fragilisant aussi le recours aux mécanismes alternatifs qui, dans la pratique, forment la base juridique de la plupart des transferts transfrontaliers de données personnelles depuis l’UE : c’est à dire les « garanties appropriés » prévues par le RGPD et surtout les « Clauses contractuelles types » (« CCT ») de la Commission européenne.

Il s’agit de modèles de contrats signés entre un exportateur de données situé en Europe et l’importateur dans un pays tiers, par lesquels l’importateur s’engage à respecter un niveau approprié de protection des données transférées. Ces clauses sont intégrées dans les conditions générales de nombreux grands acteurs économiques du Web, permettant ainsi un transfert respectueux des exigences du Chapitre V du RGPD.

Or, dans l’arrêt Schrems II, la CJUE a jugé que, si les CCT sont contraignantes pour le responsable du traitement établi dans l’UE et le destinataire établi dans un pays tiers, elles « ne sont pas susceptibles de lier les autorités de ce pays tiers, puisque ces dernières ne sont pas parties au contrat ». Par conséquent, dans certaines circonstances, les CCT seules ne sont pas suffisantes pour garantir la protection des données personnelles transférées, et notamment lorsque le droit du pays tiers permet à ses autorités publiques « des ingérences dans les droits des personnes concernées relatifs à ces données ». Dans de telles circonstances, il appartient au responsable de traitement de réaliser une évaluation au cas par cas du niveau de protection dans le pays destinataire. En outre, « l’adoption de mesures supplémentaires par le responsable du traitement » pour assurer le respect du niveau de protection requis par le droit européen peut être nécessaire.

3. Conséquences pour les autres « garanties appropriées »

Par extension, il peut être considéré que tout autre mécanisme d’encadrement d’un transfert de données qui, aux termes de la CJUE, ne lie pas les autorités du pays tiers en question, est potentiellement soumis à la même analyse de la part des juridictions et autorités de contrôle en Europe. Il s’agit notamment des règles d’entreprise contraignantes (souvent appelés « BCR » ou « Binding Corporate Rules »)9, mais, le RGPD prévoit d’autres possibilités pour apporter des garanties appropriées, tels que des codes de conduite ou de mécanismes de certification, assortis de l’engagement contraignant de l’importateur des données dans le pays tiers d’appliquer les garanties y figurant (RGPD A.46.2(e) et (f)).

Pour les collectivités, des garanties appropriées peuvent également être apportées par un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics (la CNIL donne les exemples suivants : « Memorandum of Understanding dit MOU ou MMOU, convention internationale…10). Contrairement aux CCT et BCR, ce mécanisme peut avoir l’avantage de lier les autorités du pays tiers où se situe le destinataire mais il faut, bien évidemment, faire attention à vérifier le périmètre de l’arrangement administratif en question.

4. Recours à des dérogations ?

Suite à la l’arrêt Schrems II, certains ont étudié la possibilité de fonder des transferts de données à caractère personnel vers les États-Unis sur l’une des dérogations prévues par l’Article 49 du RGPD, puisque, à la fin de son jugement, la CJUE indique que l’annulation d’une décision d’adéquation telle que la décision sur le Privacy Shield « n’est pas suspectible de créer […] un vide juridique », compte tenu de l’article 49 du RGPD, qui « établit, de manière précise, les conditions dans lesquelles des transferts de données à caractère personnel vers des pays tiers peuvent avoir lieu en l’absence d’une décision d’adéquation […] ou de garanties appropriées.11»

En effet, ce même article 49 prévoit des dérogations « pour des situations particulières », applicables de façon limitative aux collectivités12. Ainsi, les collectivités peuvent, dans certaines circonstances, procéder au transfert, sur la base d’une dérogation, et notamment :

  • Intérêt public : Si le transfert est nécessaire pour des motifs importants liés à l’intérêt public13 ;
  • Demande en justice : Si le transfert est nécessaire dans le cadre d’une demande en justice ;
  • Intérêts vitaux : Si le transfert est nécessaire pour la protection des intérêts vitaux de la personne concernée ou d’une autre personne physique si la personne concernée est dans l’incapacité physique ou juridique de donner son consentement ;
  • Registre ouvert : Si le transfert est réalisé à partir d’un registre destiné à offrir des informations au public et ouvert à consultation mais seulement dans la mesure autorisée par les lois applicables européennes ou d’un État membre14.
  • Intérêts légitimes impérieux : Si aucune des conditions précitées n’est applicable, un transfert peut potentiellement avoir lieu s’il ne revêt pas de caractère répétitif, ne touche qu’un nombre limité de personnes concernées et est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement, lequel doit avoir évalué toutes les circonstances et avoir pris des garanties en ce qui concerne la protection des données à caractère personnel. Dans ce cas spécifique, l’information de l’autorité de contrôle (en France, la CNIL) et de la personne concernée est alors requise.

Il est à rappeler que, malgré l’arrêt Schrems II, la préconisation du Comité européenne de la protection des données (« CEPD ») reste d’interpréter ces dérogations de manière restrictive15. Ainsi, la CNIL ne manque pas, dans ses observations dans l’affaire précitée du Health Data Hub, de se prévaloir du point d du 1 de l’article 49 (dérogation pour des motifs importants d’intérêt public), mais propose l’adoption de ce dispositif sous réserve de sa nature transitoire et temporaire, limitée dans le temps au stricte nécessaire16. En effet, la CNIL indique que :

« D’ordinaire, la CNIL a une approche particulièrement restrictive à cette disposition, mais elle relève que l’invalidation du Privacy Shield et les motifs de l’arrêt Schrems II de la CJUE entrainent juridiquement l’obligation de cesser un très grand nombre de transferts, ce qui peut, dans certains cas, porter une atteinte disproportionnée à l’intérêt général. […] Les conditions de l’article 49 doivent être lues à la lumière de la situation inédite ouverte par l’arrêt Schrems II pour régler ces situations transitoires. […] »

La CNIL ajoute que des potentiels transferts vers les Etats-Unis sur demande des services de renseignement américains, du fait de l ‘utilisation des services de Microsoft «ne sont évidemment pas par eux-mêmes d’intérêt public. Cependant, il y a un intérêt public manifeste à ménager cette période de transition, pour garantir la continuité de l’hébergement des données de santé et des usages qui y sont liés. Il en résulte que maintenir temporairement le risque de ces transferts […] s’avère provisoirement nécessaire pour garantir une transition satisfaisante vers un dispositif d’hébergement souverain des données de santé, que la CNIL appelle de ses vœux. »

Par conséquent, dans l’hypothèse où une collectivité souhaite se prévaloir d’une dérogation issue de l’article 49 du RGPD pour pallier les impacts de l’arrêt Schrems II, il paraît que celle-ci, de par sa nature, ne peut apporter de la sécurité juridique au-delà d’un cadre transitoire et temporaire, et ce, dans des circonstances exceptionnelles à étudier rigoureusement, au cas par cas.

5. Les suites de la décision Schrems II

Depuis l’arrêt Schrems II, la question de l’attitude que les différents acteurs concernés vont adopter se pose, et notamment les autorités administratives chargées de veiller au respect de la réglementation, en France et en Europe. Ainsi, à titre d’exemple, nous avons pu constater différentes réactions à la suite de la décision, dont notamment :

a. FAQ du CEPD

Dans la foulée de la décision, le Comité Européen de la Protection des Données (CEPD) a publié une FAQ en ligne sur le jugement, disponible en version française sur le site Web de la CNIL17. Les FAQ rappellent notamment que les transferts effectués sur la base du Privacy Shield sont illégaux et qu’il n’y a pas de « délai de grâce » pendant lequel les organismes peuvent continuer à effectuer des transferts.

b. Recours aux CCT et plaintes de l’association NOYB

En même temps, plusieurs fournisseurs américains de solutions en ligne, auparavant adhérents au Privacy Shield, ont modifié leurs conditions générales afin d’intégrer les CCT et ainsi assurer la présence d’un fondement juridique pour les transferts de données induits.

Or, selon l’association NOYB, un organisme militant de la protection de la vie privée fondé par M. Max Schrems, lui-même partie aux affaires Schrems I et Schrems II, le fait de basculer sur les CCT ne peut pas rendre légal un transfert frappé d’illégalité du fait de l’invalidation du Privacy Shield car, aux termes de la décision de la CJUE, si le destinataire aux États-Unis est soumis aux lois de surveillance américaines, les CCT sont incapables de rendre le transfert licite. Dans cette optique, NOYB a déposé des plaintes contre une centaine d’entreprises européennes qui, d’après l’association, « n’ont pratiquement pas réagi » au jugement, en continuant à utiliser Google Analytics et Facebook Connect sur leurs sites web. Les suites données à ces plaintes par les autorités européennes sont donc à suivre de près.

c. Health Data Hub : risque de transferts même en cas d’hébergement en Europe ?

Dans ses observations précitées, la CNIL se penche sur la question d’une solution d’hébergement fournie par un prestataire américain (en l’espèce, Microsoft) qui propose à son client européen un stockage entièrement effectué dans des data centers en Europe. A ce titre, la CNIL estime que les législations FISA et EO 123333 s’appliquent aux données stockées en dehors du territoire des États-Unis par des opérateurs américains, puisque ceux-ci peuvent se voir contraints par les autorités américaines de réaliser de tels transferts.

Ainsi, ce qui peut poser problème aujourd’hui n’est plus simplement le transfert effectif de données vers les États-Unis du seul fait notamment de l’utilisation de services tels que les cloud Microsoft Azure, G Suite, AWS, Google Analytics, Facebook Connect, etc., que maintenant la seule possibilité de ce transfert, selon la CNIL au sein du mémoire précité. L’enjeu est maintenant politique du fait de l’extraterritorialité des lois de surveillance américaines.

Cette question semble rester ouverte, même si la décision en référé du Conseil d’État, rendu le 13 octobre 2020, souligne que la CJUE dans l’affaire Schrems II n’a abordé que la question des conditions dans lesquelles les transferts de données à caractère personnel vers les États-Unis peuvent être effectués, et non les conditions dans lesquelles ces données peuvent être traitées au sein de l’UE par des membres de groupes ayant leur siège aux États-Unis18.

d. Avis des autorités allemandes sur l’utilisation de la suite Office

Bien avant l’arrêt Schrems II, les autorités de contrôle allemandes19 s’inquiétaient de l’utilisation de solutions hébergés aux États-Unis pour traiter les données à caractère personnel des administrés en Allemagne. Ainsi, en juillet 201920, les autorités du Land de Hesse ont interdit l’utilisation de la suite Office 365 de Microsoft en milieu scolaire, estimant que le stockage en cloud de l’outil permettrait, potentiellement, un accès par les autorités américaines aux données à caractère personnel des étudiants et enseignants. Plus récemment, selon un communiqué de presse du 2 octobre 2020 de l’autorité de contrôle de la Sarre21, la majorité des membres (9 voix contre 8) de la conférence des autorités de contrôle allemandes, a pris acte des conclusions de son groupe de travail, selon lesquelles il n’était pas possible d’utiliser Microsoft Office 365 d’une manière compatible avec la protection des données.

6. Quelle approche pour les collectivités ?

Une possible approche à suivre en réponse à l’arrêt Schrems II a été pointée par Le Contrôleur européen de la protection des données, l’organisme indépendant chargé de veiller au respect de la réglementation relative à la protection de la vie privée par les institutions et organes de l’Union européenne. Dans un document qui dessine une stratégie pour assurer la conformité à la décision Schrems II, des institutions, organes et organismes de l’Union, le Contrôleur leur impose le calendrier suivant :

  • Octobre 2020 : La préparation par chaque organe de l’UE d’une cartographie de toutes les opérations de traitement et de tous les contrats impliquant un transfert de données vers un pays tiers,
  • Avant le 15 novembre 2020 : La communication au Contrôleur d’un rapport sur les risques et écarts de conformité spécifiques identifiés lors de la cartographie, y compris, notamment :
    • Des transferts illicites qui ne sont fondés sur aucun mécanisme juridique,
    • Des transferts fondés sur une dérogation,22
    • Des transferts « à haut risque » vers des destinataires situés aux États-Unis qui sont « manifestement soumises à la FISA 702 ou au EO 12333 ».

Sur la base de ce rapport préliminaire, le Contrôleur peut prendre des mesures coercitives pour mettre en conformité ces transferts ou les suspendre, le cas échéant.

  • Hiver / printemps 2020/2021 : Réalisation d’analyses d’impacts relatives aux transferts (« Transfer impact assessments », ou « TIA ») afin de décider s’il est possible de continuer à réaliser les transferts identifiés lors de la phase de cartographie, le cas échéant en mettant en place des mesures supplémentaires.
  • Printemps 2021 : Rapport au Contrôleur sur les transferts vers des pays tiers sans qu’un niveau adéquat de protection puisse être mis en place et documentation des transferts devant être suspendus ou arrêtés pour cette raison, ainsi que les transferts pouvant se fonder sur une dérogation. Le Contrôleur établira, en collaboration avec le CEPD, des priorités pour l’année 2021.

En appliquant une approche similaire, les collectivités pourraient donc procéder à l’exercice suivant :

a. Identifier les transferts vers les États-Unis

Analyser et passer en revue les différents traitements de données à caractère personnel impliquant des transferts de données vers les États-Unis. Il s’agit d’un travail transversal puisque les outils peuvent être utilisés par différents services de l’organisme (services cloud, messagerie, outils de formation, partage de fichiers, etc.). Plus globalement, une bonne pratique serait d’identifier tous les transferts réalisés par l’organisme.

b. Identifier le mécanisme juridique permettant le transfert

Revoir les contrats passés avec le destinataire en question pour vérifier sur quel fondement est réalisé le transfert :

  • Décision d’adéquation y compris le Privacy Shield,
  • Garanties appropriées (CCT, BCR, autre …)
  • Dérogation, le cas échant.

c. Réaliser une analyse approfondie des transferts à risque

En l’absence de fondement juridique, ou si ce fondement est le Privacy Shield, il peut être nécessaire de suspendre ou d’arrêter le transfert, si sa régularisation juridique s’avère impossible.

Il convient donc de procéder à une analyse, au cas par cas, de chaque transfert réalisé, en fonction du risque qu’il présente pour les droits et libertés des personnes concernées.

Dans ce contexte, il est plus que nécessaire d’inclure le délégué à la protection des données (DPO) ainsi que le conseil habituel de l’organisme afin d’entreprendre l’ensemble des démarches nécessaires. Ces récentes évolutions rappellent également l’impérieuse nécessité des directions opérationnelles et juridiques de se former en continu en matière de protection des données à caractère personnel.

Cette analyse peut notamment couvrir les aspects suivants :

I Étudier la possibilité de mettre en place une solution européenne

Face aux incertitudes qui pèsent sur la pérennité des solutions juridiques susceptibles d’être mises en œuvre afin de respecter les dispositions du RGPD dans le cas de transfert de données vers des pays tiers, une solution peut être plus radicale mais juridiquement plus satisfaisante consisterait à avoir recours à des sous-traitants exclusivement européens, ou au minimum à des sous-traitants provenant de pays ayant fait l’objet d’une décision de conformité non contestée. A titre d’exemple, il existe des solutions européennes d’analyse de trafic Web, dont l’utilité pourrait potentiellement être étudiée.

II Viser de possibles mesures complémentaires en cas de recours aux CCT

Comme indiqué par la CJUE dans l’arrêt Schrems II, en cas de recours aux CCT :

    • Il appartient au responsable de traitement d’évaluer si le pays tiers où les données sont transférées assure un niveau de protection essentiellement équivalent à celui de l’Union européenne.
    • Dans la mesure où les CCT ne peuvent fournir des garanties au-delà d’une obligation contractuelle, l’adoption de « mesures supplémentaires » afin d’assurer le respect d’un niveau suffisant de protection peut être nécessaire.

Par conséquent, les collectivités qui souhaitent procéder à un transfert de données à caractère personnel vers un pays tiers doivent impérativement procéder à l’évaluation du niveau de protection des données dans le pays destinataire et, le cas échéant, adopter des mesures complémentaires nécessaires, qu’elles soient techniques (ex. chiffrement ou pseudonymisation23), contractuelles ou organisationnelles.

Les responsables de traitement doivent ainsi à bref délai prendre attache auprès de leurs sous-traitants.  En premier lieu, et si cela n’a pas déjà été fait conformément à leurs obligations issues du RGPD, il convient que les responsables de traitement s’assurent de la présence de transferts de données à caractère personnel vers les États-Unis, notamment dans le cadre de recours à des sous-traitants ultérieurs.

d. Documenter les autres types de garanties appropriées possibles

Dans certains cas, des alternatives aux CCT, telle que l’utilisation de BCR par certains partenaires du secteur privé, pourront être envisagées.

Pour des transferts vers les autorités publiques dans un pays tiers, la solution pourrait être la signature d’un instrument juridiquement contraignant et exécutoire avec le destinataire.

e. Agir et documenter ses choix

La décision de la CJUE ne prévoit pas de « délai de grâce » pour les organismes, il convient de procéder rapidement à une évaluation des transferts réalisés, à l’instar du processus enclenché par le Contrôleur. Il s’agit de démontrer la bonne foi de l’organisme et sa volonté de réaliser ses traitements de données personnelles dans le respect de la réglementation.

Il est essentiel, dans le cadre actuel très mouvant, de rester vigilant quant aux recommandations des autorités de contrôle susceptibles d’apporter des éléments éclairants quant aux conséquences de l’annulation, ainsi que le cas échéant, aux premières décisions qui pourraient être prises sur le sujet.

***

Privacy Shield et affaire Schrems II : les essentiels 

La règlementation en matière de protection de la vie privée a été bouleversée par la décision de la CJUE dans l’affaire « Schrems II », sur les transferts de données à caractère personnel vers les Etats-Unis.

C’est la raison pour laquelle Berger Levrault tient à vous communiquer un ajout à l‘ouvrage La protection et la valorisation des données par les collectivités, paru en avril de cette année.Cet addendum, préparé par France CHARRUYER, co-auteur de l’ouvrage, et son équipe au cabinet d’avocats ALTIJ, couvre les essentiels de l’arrêt Schrems II et de ses suites : Privacy Shield, clauses contractuelles types, l’intervention de la CNIL devant le Conseil d’Etat dans l’affaire du Health Data Hub, etc.

Il propose notamment aux collectivités des recommendations pratiques sur comment appréhender les défis de conformité posés par la décision du CJUE, basées notamment sur la stratégie du Contrôleur européen de la protection des données pour les organes de l’Union européenne, ainsi que ll’expertise et expérience pratique des auteurs.

Pour plus d’informations sur l’ouvrage et son nouvel addendum, veuillez consulter le lien ci-dessous :

https://boutique.berger-levrault.fr/la-protection-et-la-valorisation-des-donnees-par-les-collectivites.html

***

 

1Cette recommandation s’inscrit dans le cadre d’une requête en référé déposée par le Conseil National du Logiciel Libre initié par devant le Conseil d’État, visant à obtenir la suspension du Health Data Hub, lequel a ainsi sollicité la position de la CNIL sur la question.

2CJUE, 16 juillet 2020, DPC c. Facebook Ireland Ltd et Schrems, affaire C-311/18.

3Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

4Article 46 RGPD.

5Décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis

6Voir F. CHARRUYER et JLR SAURON, La protection et la valorisation des données par les collectivités – Les Indispensables, 110

7Voir le paragraphe 183 de la décision Schrems II.

8Voir les paragraphes 195 à 197 de la décision susmentionnée.

9Prévu par l’article 47 du RGPD, il s’agit corpus de règles internes propres à un même groupe de sociétés ou groupe d’entreprises engagées dans une activité économique conjointe, approuvé par une autorité de contrôle d’un État membre, telle que la CNIL. Cet instrument permet des transferts entre les membres d’un même groupe s’il s’agit de BCR dites « responsables de traitement » et des transferts provenant d’une organisation tierce vers un sous-traitant qui est membre d’un groupe ayant mis en place des « BCR sous-traitant ». Pour les collectivités, ce mécanisme peut être pertinent si l’organisme fait appel à un sous-traitant membre d’un groupe multinational ayant mis en place des BCR sous-traitant.

10https://www.cnil.fr/en/node/24223

11Voir le paragraphe 202 de la décision Schrems II

12Si l’article 49 prévoit des dérogations en cas de consentement explicite de la personne concernée ou de nécessité pour l’exécution d’un contrat avec la personne concernée, ces dérogations ne seront, en général, pas pertinentes pour les collectivités car selon l’Article 49(3), elles : « ne sont pas applicables aux activités des autorités publiques dans l’exercice de leurs prérogatives de puissance publique. »

13Le Considérant 112 du RGPD donne quelques exemples de situations pouvant relever de cette dérogation, y compris « en cas d’échange international de données entre autorités de la concurrence, administrations fiscales ou douanières, entre autorités de surveillance financière, entre services chargés des questions de sécurité sociale ou relatives à la santé publique, par exemple aux fins de la recherche des contacts des personnes atteintes de maladies contagieuses ou en vue de réduire et/ou d’éliminer le dopage dans le sport. »

14Le CEPD précise qu’il peut, par exemple, s’agir de registres d’entreprises, registres d’associations, registres de condamnations pénales, registres de propriétés (foncières) et registres de véhicules publics.  Il convient, bien entendu, de vérifier dans chaque cas les règles spécifiques issues de droit européen et français applicables au type de registre en question, avant d’appliquer cette dérogation.

15Lignes directives 2/2018 relatives aux dérogations prévues à l’article 49 du règlement (UE) 2016/679. Le CEPD recommande une « approche par étapes » selon laquelle l’exportateur européen de données doit « d’abord s’efforcer de trouver des possibilités de procéder au transfert à l’aide d’un des mécanismes prévus aux articles 45 et 46 du RGPD, et ne recourir aux dérogations prévues à l’article 49, paragraphe 1, qu’en l’absence de tels mécanismes » en ajoutant que « conformément aux principes de droit inhérents à l’ordre juridique européen, les dérogations doivent être interprétées de manière restrictive afin que l’exception ne devienne pas la règle. »

16Mémoire en observations de la CNIL devant le Conseil d’Etat en date du 8 octobre 2020 dans le cadre du recours institué par le Conseil National du Logiciel Libre, section 6, p.11.

17https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-premieres-questions-reponses-du-cepd

18Statuant en référé, le CE a ordonné à l’organisme qui gère le Health Data Hub de signer dans les 15 jours un avenant à son contrat avec Microsoft Ireland Operations Limited, stipulant notamment que la loi applicable à un précédent avenant sur la protection des données était la loi de l’État membre applicable à la société et que ledit avenant s’appliquait à tous les services Microsoft pouvant être utilisés pour traiter les données personnelles du système de santé.

19L’Allemagne ayant un modèle de gouvernement fédéral, chaque Land a sa propre autorité de contrôle (équivalente de la CNIL).

20https://datenschutz.hessen.de/pressemitteilungen/stellungnahme-des-hessischen-beauftragten-für-datenschutz-und

21https://www.datenschutz.saarland.de/ueber-uns/oeffentlichkeitsarbeit/detail/pressemitteilung-vom-02102020-stuttgart-muenchen-ansbach-wiesbaden-saarbruecken

22Veuillez noter que les traitements de données à caractère personnel réalisés par ces organes sont régis par un texte spécifique : Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données

23S’agissant de la pseudonymisation, l’on notera toutefois que la CNIL, au sein de son mémoire en observations dans le cadre du recours initié par le Conseil National du Logiciel Libre a fait part de ses réticences, à tout le moins s’agissant des données détenues par le Health Data Hub, quant à une telle mesure en raison des risques de réidentification existants.