FR EN

Toute l'actualité du social

23.10.2024 21:26

Questionner la conformité RGPD de son SIRH

Votre SIRH respecte-t-il les obligations du règlement général sur la protection des données ?


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit Social, Les essentiels, Veille Juridique
22.03.2024 10:34

DEEP FAKES PORNOGRAPHIQUES : Que dit la loi ?

La diffusion de deepfakes pornographiques mettant en scène la chanteuse Taylor Swift à la fin du...


Cat: Droit de la Propriété Intellectuelle, Droit des Technologies Avancées, Droit Social, Veille Juridique
12.02.2024 16:49

Congés payés : Les règles d’acquisition ont changé !

Le Conseil constitutionnel s’est prononcé à son tour (2/2)


Cat: Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Hygiène, Santé et sécurité , Relations individuelles et contrat de travail, Les essentiels, Veille Juridique
10.01.2024 14:55

Droit social : Attention à la rédaction de l’avis d’inaptitude !

A la suite d’un avis d’inaptitude d’un salarié, l’employeur est dispensé de toute recherche de...


Cat: Droit Social, Contentieux prud'homal et licenciements , Hygiène, Santé et sécurité , Relations individuelles et contrat de travail, Veille Juridique
10.01.2024 10:39

Proposition d’un CDI à l’issue d’un CDD : une nouvelle formalité incombe aux employeurs

Depuis le 1er janvier 2024, une nouvelle procédure est en vigueur pour les employeurs souhaitant...


Cat: Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Gestion des départs négociés , Relations individuelles et contrat de travail, Veille Juridique
26.12.2023 16:23

Droit à la preuve face à la protection des données personnelles : peut-on tout utiliser comme moyen de preuve ?

Épisode 3 : La recherche de la vérité au prisme de la déloyauté de la preuve (3/3)


Cat: Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Relations individuelles et contrat de travail, Veille Juridique
25.12.2023 15:23

Droit à la preuve face à la protection des données personnelles : peut-on tout utiliser comme moyen de preuve ?

Épisode 2 : Production des bulletins de paie (2/3)


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Relations individuelles et contrat de travail, Veille Juridique
24.12.2023 10:22

Droit à la preuve face à la protection des données personnelles : peut-on tout utiliser comme moyen de preuve ?

Épisode 1 : Enregistrement vocal de l’employeur à son insu (1/3)


Cat: Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Relations individuelles et contrat de travail, Veille Juridique
voir les archives ->
< Intelligence Artificielle : les enjeux juridiques de l’utilisation de l’IA dans la mobilité
30.05.2023 10:22 Il y a: 1 year
Categorie: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Veille Juridique
Auteur : Nicholas Cullen, Avocat associé, Solicitor of England, DPO

Transferts de données et États-Unis : hors des mesures complémentaires efficaces, point de salut

Amende RGPD record de 1,2 milliards d’euros à l’encontre de Meta.


L’autorité irlandaise de protection des données a sanctionné la société Meta Platforms Ireland Limited à hauteur de 1,2 milliards d’euros pour avoir transféré les données personnelles des utilisateurs européens de Facebook vers les Etats-Unis. Elle lui ordonne par ailleurs de suspendre ces transferts et de mettre fin au traitement illicite sous six mois, y compris le stockage aux Etats-Unis des données transférées en violation du RGPD.

 

 

 

La Data Protection Commission Ireland (DPC), a rendu sa décision après consultation de ses homologues européens, y compris la CNIL à l’occasion de laquelle ont été constatés des désaccords sur la sanction à prononcer. Ces divergences ont été résolues par le Comité européen de la protection des données (CEPD) en faveur d’une amende « efficace et dissuasive ».

Cette décision porte en effet de l’amende la plus élevée pour une violation du RGPD et représente le dernier chapitre de la saga judiciaire opposant Facebook et Max Schrems, militant autrichien de la vie privé, lancé il y a 10 ans après les révélations d’Edward Snowden sur les pratiques de surveillance de masse des agences de sécurité américaines.

En pratique, cette décision montre une volonté de la part des régulateurs européens de se coordonner et d’appliquer strictement les exigences du RGPD en matière de transferts de données vers les Etats-Unis. Le CEPD semble donc vouloir sortir de la zone grise sur les transferts hors UE depuis l’annulation du « Privacy Shield » par la Cour de justice de l’Union européenne (CJUE) en 2020.

 

 

Violation du RGPD, malgré la signature de clauses contractuelles types

 

En substance, la DPC considère que Meta avait transféré des données personnelles des utilisateurs européens de Facebook vers les Etats-Unis en violation des règles du RGPD, et ce malgré le recours par Meta aux « Clauses contractuelles types » (CCT) de la Commission européenne.

Les CCT sont censées représenter une « garantie appropriée » au sens du RGPD, permettant un transfert de données vers un destinataire situé dans un pays tiers hors de l’UE (cliquez ici pour plus d’explications), à condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

 

Or, depuis la décision de la CJUE dans l’affaire « Schrems II » du 16 juillet 2020[1], l’utilisation des CCT s’agissant des transferts de données vers les États-Unis est fragilisée. En effet, après avoir indiqué que la signature des CCT entre deux sociétés privées ne lie pas les autorités américaines, qui ne sont pas parties du contrat, la Cour considère que les lois américaines ne confèrent pas aux personnes concernées des droits opposables et des voies de droit effectives.

Par conséquent, il est désormais demandé aux acteurs du transfert d’analyser le niveau de protection des données dans le pays tiers en question (procédure souvent appelée « transfer impact assessment » ou « TIA ») et, le cas échéant, de mettre en place des mesures complémentaires à la signature des CCT, pour assurer une protection adéquate des droits et libertés des individus concernés.

 

Dans le cas d’espèce, Meta avait signé des CCT et réalisé un TIA et indiquait avoir mis en place des mesures supplémentaires. Or, la DPC a considéré que ces mesures n’étaient pas suffisantes pour compenser la protection « inadéquate » fournie par la loi américaine.

La décision reconnait toutefois la possibilité que de nouvelles mesures, à ce stade inappliquées, pourraient être développées et appliquées pour combler ces déficiences.

 

En outre la DPC a rejeté l’argument de Meta en vertu duquel ses transferts pourraient être fondés sur une dérogation prévue par l’article 49 du RGPD, notamment la nécessité contractuelle afin de justifier des transferts systématiques, massifs, répétitifs et continus.

 

 

Objections des autres autorités de contrôle, dont la CNIL

 

La DPC avait préparé un premier projet de décision dans lequel elle proposait d’ordonner la suspension des transferts mais de ne pas imposer une amende administrative.

Le projet a d’abord été partagé avec les autres autorités de contrôle indépendantes des États-membres de l’UE. Certains de ces dernières, en ce compris CNIL, se sont opposés pour partie au projet de décision sur les points suivants notamment :

  • l’absence d’amende administrative prévue à l’encontre de Meta ;
  • le fait que le projet de décision n’ordonnait pas à Meta US (société mère de Meta Ireland) de supprimer ou de rendre les données personnelles déjà transmises aux Etats-Unis.

 

Ces deux questions ont été tranchées par le CEPD en sa qualité d’organe de coordination entre les différents régulateurs. Le CEPD a ainsi décidé (1) qu’une amende administrative était nécessaire et (2) qu’il convenait de contraindre Meta Ireland de mettre fin au traitement illicite de données, y compris le stockage dans les Etats-Unis des données personnelles des utilisateurs dans l’UE.

 

 

« Le plus haut degré de négligence »

 

En ce qui concernait le montant de l’amende, le CEPD a examiné la question de savoir si Meta avait ignoré sciemment les exigences issues de l’arrêt Schrems II.

Dans ce cadre, le CEPD indique que, selon ses propres arguments, Meta semble considérer que la loi et la pratique applicables aux Etats-Unis fournissaient déjà un niveau de protection équivalent à celui en place au sein de l’UE. Par conséquent, les mesures complémentaires seraient implémentées « sur la base d'une évaluation concluant à l'absence de nécessité de telles mesures ».

Or cette prise de position étant contraire à l’analyse de la CJUE dans Schrems II, Meta « ne pouvait pas ignorer » que ses transferts pouvaient être considérés comme constitutif d’une violation du RGPD.

Dans ces circonstances, le CEPD a considéré que Meta avait « commis l'infraction avec le plus haut degré de négligence a minima » (« committed the infringement at least with the highest degree of negligence »).

 

 

À retenir :

 

Cette décision illustre la sanction attachée au défaut de conformité lorsque des transferts de données hors UE sont fondés sur la signature des CCT sans que des mesures complémentaires suffisantes soient prises.

 

Cette décision est dans la lignée d’autres décisions récentes des autorités de protection des données et notamment celles de la CNIL de mettre en demeure des éditeurs de site Internet d’avoir utilisé Google Analytics, solution impliquant également des transferts vers les Etats-Unis.

 

Le CEPD utilise sa boite à outils, et notamment l’injonction de suppression des données. Il appartiendra aux autorités nationales de la protection des données, en France la CNIL, de veiller à l’effectivité de ces mesures. La problématique risque toutefois d’être un manque potentiel de moyens ou de volonté politique ou stratégique, selon les états.

 

Dès lors, il appartient aux acteurs français de cartographier leurs transferts de données personnelles hors UE, de réaliser des TIA et, le cas échéant, de mettre en place des mesures supplémentaires efficaces en complément des clauses types.

 

 

L'équipe IP/IT - DATA

 

 

Les avocats de notre Pôle Data sont à votre disposition pour vous aider dans la mise en place de ces démarches et plus généralement sur l’encadrement des relations avec vos sous-traitants étrangers, vos analyses de vos transferts (TIA) et les formations de vos équipes à cet égard.

 

 

Lien vers la décision du DCP : https://edpb.europa.eu/our-work-tools/consistency-findings/register-decisions/2023/decision-data-protection-commission_en

 


[1] CJUE, 16 juillet 2020, DPC c. Facebook Ireland Ltd et Schrems (dit Schrems II), affaire C-311/18.