Les implications du Règlement européen sur la protection des données sur les transferts de données personnelles sont récemment devenues particulièrement pertinentes. Plus précisément, sur les transferts de données vers des pays hors de l’Union européenne où la législation est incompatible avec le Règlement européen. Dans cet article, nous aborderons les implications des Accords de Traitement des Données Personnelles (ATD) requis par le Règlement et les cas particuliers de transferts de données vers d’autres régions.

Table des matières:

 

Des sanctions plus sévères en cas de non-conformité

 
En 2021, nous avons assisté à des pénalités record pour non-conformité au RGPD en Europe. L’une d’entre elles a été imposée à Amazon par l’autorité de contrôle luxembourgeoise (746 millions d’euros) et l’autre à WhatsApp par la Commission irlandaise de protection des données (225 millions d’euros). Les deux amendes font l’objet de recours en cours. Il s’agit d’une multiplication par 14 de la précédente amende record infligée à Google par les autorités françaises.

Selon ce rapport de DLA Piper, un total de 1,1 milliard d’euros d’amendes pour non-conformité a été imposé l’année dernière, soit près de sept fois plus que le total de l’année précédente.

D’autre part, plus de 130 000 violations de données personnelles ont été signalées aux régulateurs l’année dernière, avec une augmentation de 8 % des notifications quotidiennes par rapport à l’année précédente.

Dans le classement des amendes par pays selon ce rapport, on trouve dans le Top 5 le Luxembourg, l’Irlande, qui sont des sièges de multinationales américaines bien connues, suivis de l’Italie, l’Allemagne, l’Espagne et la France.

 



Dans le Top 5 des notifications de failles de sécurité, on trouve l’Allemagne, les Pays-Bas, le Royaume-Uni, la Pologne et le Danemark, suivis dans le Top 10 par la Suède, la Finlande, la France, la Norvège et l’Espagne.

 

Ranking number of personal data breach notifications by country

 

Alors que certaines autorités ont opté pour l’imposition de quelques amendes très médiatisées (par exemple, l’Irlande et le Luxembourg), d’autres ont choisi d’imposer un grand nombre d’amendes de montants moins élevés (par exemple, l’Italie et l’Espagne).

Cette croissance des sanctions et des notifications, ainsi que la controverse générée par la non-conformité des transferts internationaux de données, reflète le durcissement des sanctions et une attention croissante des régulateurs européens sur le contrôle de la souveraineté des données.

Un exemple en est le cas récent du régulateur autrichien de la protection des données qui a déterminé que l’utilisation de Google Analytics sur le site web de NetDoktor était en violation du GDPR. En utilisant Google Analytics, toutes les données sur ce que les utilisateurs lisent, leurs intérêts, se retrouvent sur des serveurs aux États-Unis sans être correctement protégées contre un accès potentiel par les agences de renseignement américaines.

 

Anatomie d’un accord sur le traitement des données

 
Que vous travailliez avec des fournisseurs et leur fournissiez des données personnelles, ou que vous proposiez un service où vous collectez des données personnelles auprès de tiers, vous devez disposer, conformément au règlement européen, d’un Accord de traitement des données.

 

 

Dans cet Accord, qui est parfois un addendum à un contrat plus large, comme un accord de collaboration avec un partenaire ou un fournisseur, ou les conditions d’utilisation d’un service, il y a deux figures principales :

  • Le Contrôleur de données: C’est celui qui contrôle et est responsable de la conformité au RGPD concernant la collecte, la gestion, l’accès et la révocation des données personnelles.

Un exemple serait une entreprise avec un grand nombre d’employés qui signe un contrat avec un cabinet de conseil en gestion de la paie afin de pouvoir effectuer les paiements de la paie. L’entreprise fournit au cabinet de conseil les données des nouveaux employés, de ceux qui quittent l’entreprise, etc. pour le paiement correct des salaires, et le cabinet de conseil fournit le système informatique et stocke les données des employés. Dans ce cas, le contrôleur de données est l’entreprise, et le processeur de données est le cabinet de conseil.

Le responsable ne peut jamais modifier les finalités ou les utilisations des données, ni les utiliser à ses propres fins. En revanche, il est tenu de respecter les instructions, relatives aux données, de la personne qui lui confie le service.

Les points fondamentaux de cet ATD sont les suivants :

Identifier le responsable et le sous-traitant : Par exemple, pour le cas précédent, identifier le rôle de l’entreprise en tant que Responsable et de son fournisseur, le cabinet de conseil en tant que Responsable du traitement.

Objectif du Responsable du traitement des données : Indiquer clairement que le Responsable du traitement traitera les données conformément aux exigences du Responsable du traitement.

Activité de traitement et identification des informations affectées : Quelle utilisation des données sera faite par le Responsable du traitement et quel type de données est échangé avec le Responsable du traitement.

Droit à l’information lors de la collecte des données : Indiquer que c’est le Contrôleur des données qui effectue la collecte, et les autorisations pertinentes.

Obligations du responsable du traitement des données:

  • Impliquer votre personnel ou vos travailleurs.
  • Enregistrer les catégories d’activités de traitement.
  • Éviter de transférer des données à des tiers sans le consentement du Responsable du traitement (externalisation, etc.).
  • Notifier au Responsable les éventuelles divergences avec le RGPD en cas de détection de celles-ci.
  • Assister le Responsable du traitement des données dans les droits d’accès, de rectification, de suppression et d’opposition.
  • Notifier les transferts de données.
  • Signaler les violations de la sécurité des données.
  • Être obligé d’adopter des mesures de sécurité conformes aux finalités du traitement des données, et celles déterminées par le Responsable du traitement.
  • Restituer les données en cas de résiliation du contrat.

• Obligations du responsable du traitement des données:

  • Livrer les données.
  • Effectuer une analyse de risque et une analyse d’impact sur la protection des données personnelles.
  • S’assurer du respect du RGPD par le responsable.
  • Superviser le traitement par des audits et des inspections.
  • Communiquer au contrôleur de données tout changement de catégorie de données.

Durée du contrat.

Juridiction du contrat et droit applicable.
 

Implications importantes d’un Accord sur le traitement des données

 
Conformément au règlement, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir et être en mesure de démontrer que le traitement est conforme au règlement. Ces mesures sont réexaminées et mises à jour si nécessaire.

Ces mesures de sécurité, incluses dans l’article 32 du RGPD, comprennent notamment:

a) La pseudonymisation et le cryptage des données personnelles.
b) La capacité à garantir en permanence la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement ;
c) La capacité de restaurer rapidement la disponibilité et l’accès aux données personnelles en cas d’incident physique ou technique ;
d) Un processus de vérification, d’évaluation et d’appréciation régulière de l’efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement.

 


 
D’autre part, lorsque le traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci ne doit choisir qu’un sous-traitant présentant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées, afin que le traitement soit conforme aux exigences du présent règlement et assure la protection des droits de la personne concernée.

Le sous-traitant doit également prendre les mesures nécessaires énumérées ci-dessus à l’article 32, en plus des éléments examinés ci-dessus dans la section « Obligations du sous-traitant ».

En cas de violation de la sécurité des données à caractère personnel, le Responsable du traitement doit notifier l’autorité de contrôle sans délai et dans les 72 heures suivant la prise de connaissance de l’incident. De même, le Responsable du traitement est tenu de notifier la violation de la sécurité à l’autorité de contrôle dans le cas d’une telle violation.

De même, lorsque la violation de la sécurité des données est susceptible de constituer un risque pour les droits et libertés des personnes physiques, le Contrôleur doit communiquer par le Contrôleur à la personne concernée.

Cette communication à l’intéressé n’est PAS nécessaire si l’une de ces conditions est remplie:

1) le Responsable du traitement a adopté des mesures qui rendent les données personnelles inintelligibles pour toute personne non autorisée à y accéder, telles que le cryptage;
2) a pris des mesures pour garantir que le risque élevé pour les droits et libertés de la personne concernée a peu de chances de se matérialiser.
3) La notification implique un effort disproportionné et une communication publique est choisie.

En résumé, supposons que nous ayons collecté des données à caractère personnel auprès de tiers et que nous les sauvegardions dans des fichiers Excel, des PDF, etc. pour les conserver. Il peut s’agir de données d’employés, de CV, de clients, etc. Pour les stocker, nous avons choisi le service d’un fournisseur de Cloud de stockage et de partage de fichiers, et nous y téléchargeons la documentation.

Si le fournisseur subit une violation de sécurité, nous sommes, en tant que responsables du traitement des données, affectés par cette violation des données personnelles que nous avons collectées. La responsabilité nous incombe directement et ne peut être évitée même si c’est un fournisseur qui a subi la violation. Nous sommes tenus d’informer les autorités et les personnes concernées.

Toutefois, si ces données stockées chez le fournisseur sont cryptées et que le cryptage est contrôlé par nous en tant que responsables du traitement, la violation de la sécurité chez le fournisseur rend les données inintelligibles pour quiconque peut y accéder. Dans ce cas, nous ne serons pas obligés d’informer les personnes concernées.

Grâce à cette mesure efficace, en chiffrant les fichiers que nous stockons chez un tiers et en contrôlant leur accès, nous pouvons éviter de futurs maux de tête, amendes et perte de réputation.
 

Le problème des transferts internationaux

 
L’Union européenne, à travers l’EU-GDPR, présente des restrictions sur les transferts internationaux de données personnelles vers des pays qui n’ont pas de réglementation adéquate. Si le pays où les données voyagent ou sont stockées ne respecte pas les exigences du règlement, nous serons confrontés à un transfert risqué qui peut être bloqué.

L’approche aux États-Unis d’Amérique est très différente en termes de traitement des données par rapport au modèle européen. Bien qu’il existe des réglementations sectorielles (santé, finances) et que certains États aient établi des normes de confidentialité, comme c’est le cas en Californie, il n’y a pas de norme fédérale commune. De ce fait, différents accords sur le traitement des données ont dû être négociés entre l’Union européenne et les États-Unis : Sphère de sécurité (2000) ou Bouclier de protection des données (2016).

 

 

Cependant, malgré ces accords, l’approche entre les deux blocs reste radicalement différente. Pour faire simple : L’Europe dit que le niveau de protection doit voyager avec les données et les États-Unis disent que l’on peut accéder à vos données sans vous le dire, pour ce qu’ils veulent et sans que vous puissiez faire quoi que ce soit.
 

Les affaires Schrems I et II et les défis de la conformité des transferts

 
Maximilian Schrems a acquis une notoriété internationale avec l' »affaire Facebook », dans laquelle ce militant autrichien, qui a ensuite créé l’organisation « My Privacy is None Your Business (NOYB)« , a dénoncé les pratiques de Facebook consistant à transmettre les données de ses utilisateurs à l’Agence nationale de sécurité (NSA). Schrem I est connu comme la décision de la Cour de justice de l’UE en 2015 qui a entraîné l’invalidation de l’accord Safe Harbor pour les transferts de données entre l’Union européenne et les États-Unis, au motif qu’il ne suivait pas un traitement comparable à celui requis par la législation européenne.

Avec tous les transferts de données  » en l’air « , l’approbation d’un nouvel accord ne s’est pas fait attendre ( Bouclier de protection des données ; 2016). Cependant, cet accord n’était rien d’autre qu’une répétition des clauses précédentes, ce qui a conduit à l’arrêt Schrem II par lequel la Cour de justice de l’Union européenne a invalidé l’utilisation du Privacy Shield en juillet 2020.

Actuellement, nous sommes dans une situation où il n’existe pas de décision d’adéquation réglementant les transferts de données entre l’Union européenne et les États-Unis.

En l’absence d’une décision d’adéquation, comme dans le cas des États-Unis, L’article 46 du règlement prévoit l’application de certaines garanties pour des cas très spécifiques, afin de surmonter l’interdiction générale. L’article 46 prévoit les alternatives suivantes pour valider les transferts vers des pays inadaptés:

1) Un instrument juridiquement contraignant et exécutoire entre autorités ou agences publiques;
2) des normes d’entreprise contraignantes;
3) Les clauses types de protection des données adoptées par la Commission européenne;
4) Des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission européenne ;
5) Un code de conduite approuvé ; ou
6) Un mécanisme de certification approuvé.

Toutefois, même ces garanties visées à l’article 46 sont remises en question pour des pays comme les États-Unis où les circonstances du transfert doivent être évaluées au cas par cas.
 

Mesures supplémentaires pour les transferts recommandées par le Conseil européen de la protection des données

 
En juin 2021, la Commission européenne a contribué à réduire ce déficit de conformité en publiant des clauses contractuelles standard qui reflètent les recommandations du Comité européen de protection des données. Cependant, se conformer à ces clauses n’est pas anodin et reste hors de portée de nombreuses petites et moyennes entreprises.

Parmi les recommandations incluses dans cette publication figurant :

    1. Connaissez vos transferts.
    2. Vérifiez l’instrument sur lequel repose le transfert, car si le transfert est effectué vers un pays que la Commission européenne a déclaré adéquat, elle n’aura pas à prendre en compte de mesures supplémentaires.
    3. Évaluez si la législation ou la pratique du pays peut affecter les garanties de transfert.
    4. Déterminer et adopter les mesures complémentaires nécessaires pour garantir que le niveau de protection est conforme aux normes de l’UE, s’il s’avère que la législation du pays affecte l’efficacité de ce qui est décrit à l’article 46 (voir ci-dessus).
    5. Adopter toute mesure procédurale formelle qui pourrait être requise par la mesure complémentaire : par exemple, consulter les autorités de contrôle.
    6. Réévaluer à intervalles appropriés le niveau de protection.

L’annexe 2 de ce document décrit des exemples de mesures techniques, contractuelles et organisationnelles pour aider à assurer la conformité, pour les pays tiers où leurs autorités peuvent accéder au contenu des données en transit (communications, etc.) ou au repos, stockées par un tiers, exigeant que le tiers localise et extraie les données d’intérêt et les transmette aux autorités.

Si nous reprenons l’exemple que nous avons mis plus haut où nous stockons des données personnelles de tiers dans un système de stockage Cloud situé aux USA, il est mis comme mesures complémentaires :

• Utilisation du chiffrement de transport, ou du chiffrement de bout en bout si le chiffrement de transport n’est pas suffisant.
Décryptage uniquement possible en dehors du pays tiers en question.
Utilisation d’une longueur de clé et d’un algorithme conformes à l’état de l’art et pouvant être considérés comme optimaux.
Conservation de la clé de chiffrement dans une juridiction présentant un niveau de conformité adéquat.

Dans ce cas, le Conseil européen de la protection des données considérera ce cryptage du contenu comme une mesure complémentaire efficace.
 

Sécurité centrée sur les données pour les transferts de données à caractère personnel

 
La sécurité centrée sur les données fournit un moyen efficace et simple de crypter les informations de bout en bout, permettant aux données personnelles contenues dans les fichiers de voyager en toute sécurité et sous contrôle:

La sécurité voyage avec le document, où qu’il soit stocké.
• Elle est persistante et peut être appliquée en transit, au repos et en cours d’utilisation.
• Il y a une indépendance de qui a les données stockées et qui a le contrôle sur le cryptage appliqué.
• Permet un audit complet des accès, des tentatives d’accès bloquées, etc
• Permet de révoquer l’accès à distance, laissant le document inaccessible où qu’il se trouve.
• Définissez des contrôles d’accès granulaires : Par personne, groupe, domaine, etc.
• Définissez des niveaux de permission sur les données : Lecture seule, modification, mais pas de copier-coller, etc.

Proteger documentos SealPath

Dans ce sens et en restant sur l’exemple du stockage de fichiers avec des données personnelles chez un fournisseur de cloud, nous pouvons garantir que nous contrôlons ces données puisqu’elles portent un cryptage contrôlé par nous, de sorte qu’une éventuelle fuite chez le fournisseur ne nous affectera pas et évitera de notifier les personnes concernées.

Dans le cas de transferts vers des pays tiers dont la législation est incompatible avec le RGPD-UE, il permet d’appliquer les mesures techniques complémentaires recommandées par le Conseil européen de protection des données dans la publication de juin 2021 : Un chiffrement en transit et au repos sur les données, avec la possibilité de déchiffrer les données sous contrôle dans un lieu ou un pays qui répond aux critères du RGPD-UE, et qui dispose en outre de contrôles d’accès, de permissions et de capacités d’audit qui permettent de maximiser le contrôle des données.

 

Conclusions

 
Compte tenu du cas récent de l’Autriche qui a considéré que des systèmes tels que Google Analytics ne respectaient pas les critères du RGPD-UE, et des points de vue différents de blocs tels que l’Union européenne et les États-Unis concernant le traitement des données à caractère personnel, il n’est pas surprenant de voir les régulateurs européens se concentrer de plus en plus sur le respect de la sécurité dans les transferts internationaux de données et d’assister à une augmentation des sanctions.

Étant donné qu’une faille de sécurité chez un sous-traitant ne libère pas le contrôleur de son devoir de gestion des données personnelles, il est nécessaire d’avoir des Accords de traitement des données appropriés avec les différents fournisseurs et de mettre en œuvre des mesures techniques supplémentaires pour nous aider à assurer la conformité.

Comme le reflète le règlement lui-même et les mesures supplémentaires recommandées par le Conseil européen de la protection des données pour les transferts internationaux à risque, le cryptage en transit et au repos, associé à une séparation entre ceux qui possèdent les données et ceux qui peuvent les décrypter, est l’un des mécanismes les plus puissants et les plus recommandables pour garantir le traitement correct des données personnelles.

Si vous souhaitez en savoir plus sur la manière dont SealPath peut vous aider à protéger vos données au repos, en transit et en cours d’utilisation, veuillez nous contacter.