Le Conseil d'État confirme la possibilité de transférer des données personnelles aux États-Unis

Après le Conseil d'Etat français dans l'affaire Doctolib, voici que le Conseil d'Etat belge confirme la possibilité de transférer des données personnelles vers les Etats-Unis. Ceci peut être considéré comme une confirmation importante depuis l'arrêt Schrems II de la Cour de justice de l'Union européenne ("CJUE"). Nous l'expliquons brièvement ci-dessous.

Cela a commencé avec l'affaire Schrems II

Le 17 juillet 2020, dans l'arrêt Schrems II, la CJUE a déclaré le Privacy Shield invalide en tant que mécanisme de transfert de données à caractère personnel de l'UE vers les États-Unis. Cela avait entraîné beaucoup d'incertitude et, par conséquent, le Conseil européen de la protection des données (EDPB) et la Commission européenne ont publié des premières recommandations pratiques et des outils, respectivement les 11 et 12 novembre 2020.

En résumé, bien que le Privacy Shield ait été déclaré invalide, les clauses contractuelles types (CCS) de la Commission européenne sont restées un mécanisme de transfert valable pour transférer des données à caractère personnel vers les États-Unis, à condition que des mesures techniques et organisationnelles supplémentaires suffisantes soient prises pour garantir un niveau de protection adéquat des données à caractère personnel.

Conseil d'Etat français : Affaire Doctolib

Dans le sillage de l'arrêt Schrems II, certains groupes d'intérêt ont intenté une action contre le gouvernement français parce que Doctolib, un portail médical permettant de prendre un rendez-vous de vaccination (contre Covid-19), utilisait les services cloud d'Amazon (en l'occurrence l'entité luxembourgeoise) pour l'hébergement de son système de rendez-vous. Le Conseil d'Etat français devait décider dans cette affaire si les mesures prises par les autorités françaises étaient suffisantes pour garantir le niveau de protection des données personnelles.

Le 12 mars 2021, le Conseil d'Etat français a jugé qu'il n'y avait pas de transfert de données personnelles, mais qu'il y avait un risque que les autorités américaines aient accès aux données car elles étaient hébergées par une filiale européenne d'une entité américaine. Depuis l'arrêt Schrems II, la nécessité de mesures supplémentaires dans un tel cas doit être évaluée. Le Conseil d'Etat français a jugé que les mesures techniques, organisationnelles et juridiques prises ci-dessous étaient suffisantes pour garantir un niveau de protection adéquat :

• Il s'agissait uniquement d'informations sur les rendez-vous et non de dossiers médicaux.
• Les données n'ont été conservées que pendant trois mois.
• Les personnes concernées peuvent supprimer elles-mêmes les données.
• Amazon avait un addendum sur les demandes d'accès des agences gouvernementales qui stipulait qu'elle contesterait toute demande des gouvernements.
• Chiffrement des données par Atos, un prestataire de services français, les clés ne tombant pas entre les mains d'Amazon.

Conseil d'Etat de Belgique : Cas du centre de mobilité

Le 19 août 2021, le Conseil d'État belge a rendu un arrêt similaire. Le 16 juillet 2021, la Région flamande a attribué un marché public à ViaVan Technologies (" ViaVan ") pour l'établissement et l'exploitation du centre de mobilité prévu par le décret sur l'accessibilité de base. Les concurrents de ViaVan (" les requérants ") ont introduit un recours suspensif contre cette décision d'attribution.

ViaVan étant une filiale d'une entité américaine, les requérants ont fait valoir qu'il y a un transfert de données à caractère personnel vers les États-Unis et ont affirmé qu'aucune mesure supplémentaire n'était envisageable pour remédier au niveau de protection inadéquat aux États-Unis.

Toutefois, le 19 août 2021, le Conseil d'État a rejeté le moyen des requérants selon lequel il n'existait pas de mécanisme de transfert de données valable. Le Conseil d'État s'est référé à l'arrêt Schrems II pour affirmer que les clauses contractuelles types sont toujours valables, sous réserve de mesures supplémentaires si nécessaire pour assurer un niveau de protection adéquat. Le Conseil d'État a conclu que le dossier montre que ViaVan a fourni un ensemble complet de garanties. On peut déduire de l'arrêt qu'il s'agissait au moins d'un cryptage complet avant que les données ne soient confiées au prestataire de services, et que les clés de cryptage étaient conservées en interne. Étant donné que des documents confidentiels ont été soumis, le Conseil d'État n'a pas expliqué quel ensemble étendu de mesures de protection était impliqué.

Remarques finales

La question est de savoir si le débat sur le transfert des données personnelles a été tranché par les arrêts des Conseils d'État français et belge. Probablement pas.

• Ce que nous savons, c'est (1) que si le gouvernement choisit d'attribuer le contrat à une (filiale d'une) entité américaine, cela ne signifie pas nécessairement que la décision d'attribution doit être suspendue et (2) que le cryptage complet avant que les données ne soient confiées au fournisseur de services et que les clés de cryptage soient conservées en interne peut être l'une des garanties possibles.
• Ce que nous ne savons pas, c'est si l'Autorité de Protection des Données (APD) et la Cour de Marché se prononceraient de la même manière que le Conseil d'Etat sur les garanties prises. En effet, il n'est pas exclu qu'à un stade ultérieur une plainte soit déposée contre ce traitement et que l’APD ait à se prononcer sur les garanties concrètes en question.

Ressources utiles:

• L'EDPB a adopté le 21 juin 2021 la version finale de la recommandation01/2020 sur les mesures techniques et organisationnelles supplémentaires.
• Le 10 novembre 2020, l'EDPB a publié la recommandation 02/2020 sur les garanties essentielles européennes pour les mesures de surveillance.
• L'arrêt du Conseil d'État français dans l'affaire Doctolib.
• L'arrêt du Conseil d'État belge dans l'affaire du Centre de mobilité.