L’impact de l’EU-US Data Privacy Framework pour la conformité web

Quels changements pour la conformité des sites web (ex : Google Analytics) ?

 

Le 6 avril 2022 l’European Data Protection Board (EDPB ou CEPD pour Comité Européen de la Protection des Données) nous indiquait qu’un accord de principe était trouvé concernant le nouveau cadre pour le transfert de données personnelles de l’Europe vers les Etats-Unis faisant suite à l’invalidation du Privacy Shield en juillet 2020 par la Cour de Justice de l’Union Européenne dans l’affaire « Schrems II » (cf. Vers un nouveau Privacy Shield ?). Ce nouvel accord aura-t-il un impact sur la conformité web et l’utilisation de Google Analytics ? Depuis, de nombreuses interrogations pour les entreprises qui traitent avec des entreprises américaines se sont posées. La plus fameuse d’entre elles est sans doute celle de la conformité de l’outil de Google, Google Analytics. Je vous en parlais déjà dans un premier article du 11 avril 2022 (dispo ici) puis encore le 8 juin 2022 (dispo ici), suite à la prise de position de différentes autorités de contrôle dont la CNIL.

QUEL ETAIT LE PROBLEME ?

Si l’on se souvient de l’arrêt Schrems (premier du nom) qui avait permis l’invalidation du Safe Harbour, puis de l’arrêt Schrems II qui a débouché sur l’invalidation du Privacy Shield, on peut se remémorer l’existence d’un mécanisme d’auto-adhésion des entreprises américaines à une liste publique visant à indiquer que ces entreprises étaient conformes aux exigences de protection des données européennes. C’est notamment ce dispositif qui avait été jugé comme n’étant pas suffisant par la Cour de Justice Européenne, car une adhésion à cette liste par une entreprise ne faisait pas nécessairement l’objet d’une vérification quant à la conformité de l’entreprise concernée. En complément, les différents dispositifs légaux existants aux Etats-Unis permettaient au Gouvernement d’accéder aux informations stockées sur les serveurs de ces entreprises même si ceux-ci étaient situés sur le sol européen. Un véritable problème donc pour la confidentialité des données des Européens. Alors qu’est-ce qui a évolué pour justifier ce revirement de situation de la part des instances européennes ? Et bien il est possible de penser qu’il s’agit d’un retour en arrière…

Toujours un système d’AUTO-CERTIFICATION des entités

Comme avec le précédent accord de protection des données entre l’UE et les États-Unis (Privacy Shield), un système d’auto-certification est une nouvelle fois mis en place pour les entités américaines. Une fois ces entités inscrites sur la liste des organismes certifiés, elles doivent s’engager publiquement chaque année à respecter ce cadre juridique et tous ses principes. Des garanties similaires à celles de l’UE sont prévues par ce nouveau dispositif. Notamment l’obligation de supprimer les données qui ne seraient plus nécessaires à la finalité de collecte. En cas de partage des données européennes à un tiers, la continuité de leur protection devra également être assurée.

NOUVELLE DECISION D’ADEQUATION : EU-US Data Privacy Framework

C’est désormais par une décision du 10 juillet 2023 que la Commission Européenne constate donc que les États-Unis confèrent et assurent un niveau de protection des données personnelles conformes à nos standards européens. En conséquence, les transferts de données personnelles vers les entreprises américaines peuvent désormais être réalisés librement et sans encadrement spécifique. Enfin, ces transferts sont dorénavant possibles qu’à condition de garantir des droits opposables aux personnes concernées, ainsi que des voies de recours effectives. Une liste de ces organismes est rendue publique par le ministère américain du Commerce à cette adresse : https://www.dataprivacyframework.gov/s/participant-search. A noter que ce site ressemble pour beaucoup à ce qui existait déjà à l’époque du Privacy Shield. Pour l’instant, cette liste recense environ 2620 organismes, dont le géant Google.

steredenn_article_EU-US_Data_Privacy_Framework_GOOGLE

Il semblerait cependant que les critiques à l’encontre des anciens dispositifs aient été entendues. Avec ce nouveau système émerge un nouvel ensemble de règles et garanties contraignantes à destination des autorités de renseignements américaines. Désormais, l’accès aux données personnelles par ces autorités sera limité à ce qui est « nécessaire et proportionné pour protéger la sécurité nationale ». C’est le décret présidentiel étatsunien n°14086 qui en plus de consacrer les principes de nécessité et de proportionnalité, introduit un nouveau mécanisme de recours indépendant et impartial auprès d’une « Cour de contrôle de la protection des données ».

QUEL IMPACT NOTAMMENT POUR LA CONFORMITE DES SITES WEB ?

Avec cette décision, sans encadrement spécifique par des « clauses contractuelles types » ou un autre instrument de transfert. Les transferts de données personnelles depuis l’Union européenne vers les organismes figurant sur cette liste peuvent donc s’effectuer librement. En revanche, les transferts vers des entités américaines ne figurant pas sur la liste du Département du Commerce ne pourront pas être fondés sur la décision d’adéquation et nécessiteront des garanties appropriées. Par exemple, il est notamment possible de réaliser le transfert en signant des clauses contractuelles types, ou en utilisant tout autre outil listé à l’Article 46 du RGPD. Pour palier tout risque, la Commission nous rappelle qu’avant de procéder au transfert des données à caractère personnel, les organismes européens doivent s’assurer que l’organisme destinataire figure sur la liste mise à disposition par le Département du Commerce des États-Unis. Pour le dispositif Google Analytics que certains se sont empressés de juger illégaux, à tort, motivés sans doute par des motifs lobbyistes, plus aucun problème. Google ayant déjà mené des efforts importants depuis 2020 avec sa nouvelle version Google Analytics (cf. mon précédent article), vous pourrez tout à fait poursuivre l’utilisation de cette solution sans vous soucier de la légalité de transferts potentiels de données vers les États-Unis… s’il devait y en avoir. A noter que cette nouvelle décision d’adéquation ne dispense pas les organismes d’informer les utilisateurs ou toute personne concernée par un traitement de données personnelles de l’existence d’éventuels transferts de données personnelles en dehors de l’Union Européenne. Si votre hébergement web est par exemple effectué chez AWS, il va de soi qu’il sera nécessaire d’en faire mention dans vos mentions légales et politique de confidentialité afin d’avertir vos utilisateurs d’éventuels transferts de données vers les États-Unis (même s’il peut ne s’agir que de données en transit qui s’avèrent être stockées en Europe in fine). Les enjeux de conformité RGPD et ceux relatifs notamment au mécanisme de recueil de consentement sont toujours les mêmes et les règles applicables en la matière doivent toujours être suivies afin d’avoir un site web ou application conforme. Reste désormais à savoir si ce dispositif fera l’objet d’une plainte comme ses prédécesseurs ou s’il nous assure un avenir radieux en termes de transferts de données personnelles vers les États-Unis ?

Autres sources :

Décision d’adéquation de la Commission Européenne : le texte disponible ici

Obtenez le livre blanc dédié à la conformité web et faites de la conformité RGPD votre atout de différenciation marketing et commercial

Couverture_Livre_blanc_web_rgpd

En communiquant votre adresse mail, vous acceptez d’être contacté par Steredenn pour recevoir le livre blanc et communications afférentes. Vous disposez de la faculté de vous désinscrire des communications à tout moment. Pour plus de détails concernant le traitement de vos données personnelles et l’exercice de vos droits, consulter la Politique de protection de données.

Vous souhaitez en savoir plus sur la conformité RGPD de votre site ou application, ou par exemple correctement configurer Google Analytics ? Vous voulez bénéficier de l’attestation RGPD ? Vous êtes au bon endroit : ) Je me ferai un plaisir de vous répondre rapidement et de vous accompagner sur votre projet !

RGPD – Développeurs informatiques – Obligation et responsabilités

Quelles sont les obligations et responsabilités des développeurs informatiques ?   Une décision sujette à interrogation Le 12 janvier 2023, la Chambre commerciale de la Cour d’Appel de Grenoble a rendu sa décision RG n° 21/03701 largement commentée ces derniers...

reCAPTCHA, conformité RGPD et alternatives

  Le CAPTCHA, contre la protection des données personnelles ?     Et si ce n’était pas sur la question relative à GOOGLE ANALYTICS que la CNIL devrait mettre ses efforts pour la conformité de nos sites ? [Pour rappel de la situation➡️ notre premier...

CNIL – Mots de passe : mise à jour de l’état de l’art

CNIL  et mots de passe : nouvelle recommandation par la prise en compte des évolutions techniques   Une mise à jour attendue et nécessaire Dès l'article 1er de sa recommandation, la CNIL opère un renvoi vers l'article 32 du Règlement Général sur la Protection des...

Règles de prospection RGPD

Focus sur les règles applicables en matière de prospection commerciale   Vous vous posez encore et toujours des questions sur les règles (#rgpd) à suivre pour la gestion de votre prospection commerciale ? Voici quelques infos qui pourront vous aider 👇🏻   Stay Safe,...

Comment la CNIL adopte-elle une stratégie de complexification des règles de mise en conformité et s’éloigne progressivement de son rôle de facilitateur ?

Nouvelle publication de la Cnil concernant Google Analytics Historique  La CNIL vient de publier un billet faisant suite à ses mises en demeure d’entreprises ayant recours à l’usage de Google Analytics. Dans cet article la CNIL tente de justifier ses décisions qui...