Numéro 29 // Jeudi 30 septembre 2021
|
|
|
|
TRANSFERTS INTERNATIONAUX DE DONNÉES : LE NOUVEAU PAYSAGE JURIDIQUE DE LA RENTREE ! |
|
|
|
Ce mois-ci, la Lettre du DPO a interrogé Myriam Quéméner (avocate générale à la chambre de l’instruction économique et financière de la cour d’appel de Paris, docteur en droit et auteure d’ouvrages et de très nombreux articles en droit du numérique) ainsi que Lauren Webb (avocate associée du cabinet Browne Jacobson, en charge du droit des nouvelles technologies). Elles livrent à la Lettre du DPO leurs témoignages et éclairages pratiques, en particulier sur ce sujet des transferts internationaux de données personnelles dont l’actualité s’avère riche en cette rentrée 2021.
Les transferts internationaux de données : une règlementation très contraignante et encore trop méconnue ou négligée. Si l’information a de tout temps circulé au-delà des frontières, l’informatique et surtout l’avènement d’internet ont marqué un tournant en amplifiant à l’extrême cette circulation. Conscient des risques encourus pour la vie privée des individus, mais aussi pour les actifs et la sécurité des organisations, le législateur communautaire a, dès 1995, interdit l’exportation des données personnelles en dehors de l’Union Européenne (UE), exception faite de certains pays reconnus (par décision de la Commission Européenne) comme conférent un niveau de protection « adéquat ». Toutefois, conscient de l’importance, pour l’économie, de ces échanges, ce même législateur avait prévu certains assouplissements (tous repris par le RGPD, et parmi lesquels figure la signature de clauses types de transferts) mais dont la jurisprudence de ces dernières années n’a cessé de rappeler la fragilité. Dit autrement : la simple signature d’un contrat de transfert de données ne suffit plus ! Trop peu d’organisations, encore aujourd’hui, traitent convenablement ce sujet, partant du postulat, très souvent faux, qu’elles n’effectuent aucun transfert de données hors UE.
« Le transfert » : une notion très large. Contrairement à l’opinion commune, un transfert ne correspond pas seulement à un envoi de données, mais est aussi constitué par un accès distant depuis un pays tiers à l’UE. Or, avec la mondialisation des relations économiques, très nombreuses sont les entreprises qui ont recours à de l’infogérance, de la maintenance ou même des prestations métiers (gestion de la paye, hébergement des boîtes email, etc.) fournies par des prestataires établis à l’étranger, ce qui constitue incontestablement « des transferts ».
Les nouveautés de la rentrée : Brexit et nouvelles clauses types imposées par la Commission européenne. Deux actualités marquent la rentrée. Premièrement, avec l’accord de commerce et de coopération signé le 30/12/2020 entre l’UE et le Royaume-Uni, ce dernier a obtenu le maintien du bénéfice du RGPD jusqu’au 01/07/2021. Des inquiétudes se sont alors élevées au sujet des transferts de données effectués entre le vieux continent et l’île britannique, d’autant plus importantes que les échanges économiques sont intenses entre ces deux zones. Il fallait donc un cadre pour que le départ britannique ne se transforme pas en blocus numérique. C’est désormais chose faite grâce aux deux décisions d’adéquation adoptées le 28 juin 2021 par la Commission européenne. Mais prudence, toutefois, car cette reconnaissance n’a été donnée que pour une durée de 4 ans et est, de toute façon, précaire : la Commission peut la retirer à tout moment si elle constate que le Royaume-Uni n’est plus en mesure d’assurer un niveau de protection adéquat. Les entreprises transférant des données Outre-Manche doivent donc surveiller attentivement les évolutions du droit britannique. Deuxièmement, de nouvelles clauses contractuelles types ont été publiées par la Commission Européenne, le 04/06/2021, pour encadrer les transferts de données à caractère personnel vers les pays tiers à l’UE. Il est obligatoire d’adopter ces clauses à compter du 27/09/2021 pour les contrats conclus après cette date et, pour les contrats en cours, il est laissé 15 mois supplémentaires mais qui passeront très vite. Une bonne raison pour s’intéresser au sujet, sans tarder …
Bonne lecture !
Matthieu Bourgeois et Laurent Badiane, associés en charge du département Immatériel & Numérique
Pour vous abonner, cliquez ici
|
|
|
|
« Le transfert des données personnelles est une problématique fondamentale et très complexe pour les entreprises (…) il conviendrait que l’ensemble des acteurs s’empare du sujet »
|
|
|
|
| Myriam QUEMENER est magistrat de l’ordre judiciaire docteur en droit, expert pour le ministère de la justice en matière de lutte contre la cybercriminalité, et actuellement avocat général près la Cour d’appel de Paris à la chambre de l’instruction économique et financière. Myriam QUEMENER a accepté de répondre aux questions de La Lettre du DPO.
1/- Quelles ont été les étapes clés qui, dans votre parcours, vous ont amené à vous intéresser au numérique ?
Je suis magistrat depuis 1986. Après deux années passées comme procureur adjoint près le Tribunal de grande instance de Créteil, j’ai été nommée en décembre 2013 avocat général près la Cour d’appel de Versailles. Le sujet du numérique a d’abord été une passion personnelle, après avoir effectué des travaux sur l’« internet et les mineurs » au début des années 2000, à la direction des affaires criminelles du ministère de la Justice. Dès cette époque, j’ai identifié qu’Internet pouvait être un vecteur idéal pour faciliter les actions des délinquants. En septembre 2015, j’ai rejoint le ministère de l'Intérieur comme conseiller juridique du Préfet en charge de la lutte contre les cybermenaces puis auprès du délégué ministériel aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) au ministère de l'Intérieur. Je suis également expert auprès du Conseil de l’Europe en matière de cybercriminalité et l’auteur d’une thèse sur la criminalité économique et financière à l’ère numérique publiée en 2015 ainsi que de plusieurs ouvrages et articles sur le numérique et la cybercriminalité.
|
|
2/- Quelles sont vos responsabilités actuelles et chantiers en droit du numérique ?
Je suis actuellement avocat général près de la cour d’appel de Paris à la chambre de l’instruction économique et financière qui traite de plus en plus de dossiers de cybercriminalité. Dans le cadre de ces fonctions, je m’occupe notamment des requêtes en nullité de procédures, fondées par exemple sur les conditions d’accès aux données et la fragilité de la preuve numérique. La preuve numérique est un élément souvent déterminant pour lutter contre la cybercriminalité et ses implications transfrontalières, mais aussi contre toute forme de délinquance organisée et financière utilisant de plus en plus les arcanes du numérique en évolution constante. Je traite aussi des dossiers d’appel en relation avec des saisies de crypto-actifs. Enfin, je fais partie de différents groupes de travail. J’ai notamment participé à la rédaction du rapport « le droit pénal à l’épreuve des cyber attaques » publié par Le Club des Juristes en avril 2021.
3/- Quelle est votre vision d’avenir sur le droit du numérique et les transferts de données ?
Le transfert des données personnelles est une problématique fondamentale et très complexe pour les entreprises. Cela implique que les entreprises se dotent de juristes spécialistes et de DPO. Bien que la CNIL accomplisse un travail pédagogique très important, il conviendrait que l’ensemble des acteurs s’empare du sujet. A cet égard, la Commission a un rôle moteur à jouer. Si l’on assiste à une atténuation des frontières entre les différentes branches du droit, les dispositions du RGPD sont assez méconnues des magistrats judiciaires. Cependant, la décision de la CJUE du 16 juillet 2020 (Affaire Schrems II) qui a invalidé le Privacy Shield et déclaré l’insuffisance des clauses contractuelles types pour encadrer les transferts depuis l’Europe vers les Etats-Unis est une victoire pour le RGPD et une opportunité pour une véritable souveraineté numérique européenne
|
|
|
|
En pratique, les données personnelles peuvent être transférées entre l'UE et le Royaume-Uni sans que des garanties supplémentaires ne soient requises.
|
|
|
|
Suite à la récente décision d'adéquation pour le Royaume-Uni et aux commentaires récents d'un ministre du gouvernement britannique selon lesquels le Brexit permettra au Royaume-Uni de prendre des mesures pour "réformer nos propres lois sur les données afin qu'elles soient basées sur le bon sens et non sur des cases à cocher", La Lettre du DPO a décidé ce mois-ci d'interviewer Lauren Webb, associée du cabinet d'avocats Browne Jacobson situé au Royaume-Uni et membre du réseau Pangea Net comme klein•wenner. Elle nous a fourni des informations pratiques sur les entreprises transfrontalières opérant au Royaume-Uni dans un monde post-Brexit.
Pour découvrir l’interview complète cliquer ici.
Une application combinée du RGPD européen et du RGPD britannique.
"Dans sa forme actuelle, le RGPD britannique est essentiellement le même que le RGPDeuropéen, mais adapté au Royaume-Uni. En pratique, les entreprises de l'UE qui opèrent au Royaume-Uni et dans l'UE devront se conformer au RGPD britannique, en plus du RGPD européen, lorsque ces entreprises (i) ont un "établissement" (c'est-à-dire un employé, une succursale ou un bureau) au Royaume-Uni et traitent des données personnelles dans le cadre de cet établissement ; (ii) surveillent le comportement des individus au Royaume-Uni - par exemple via des cookies sur un site Web destiné aux consommateurs britanniques ; ou (iii) offrent des biens et des services aux individus au Royaume-Uni. Même si à court terme aucun changement substantiel ne sera apporté à loi britannique, l'interprétation de celle-ci par l'Information Commissioner's Office (ICO - l'autorité de surveillance au Royaume-Uni) pourra conduire à des différences significatives dans la manière dont ces lois de protection des données seront appliquées en pratique. Les entreprises pourraient se trouver dans la situation difficile d'avoir à se conformer à des lois différentes, voire contradictoires, lorsqu'elles traitent des données personnelles de personnes de l'UE et du Royaume-Uni."
Les transferts de données entre l’UE et le Royaume-Uni autorisés sans autre garantie pour le moment.
"À la fin du mois de juin 2021, la Commission européenne, en concertation avec le gouvernement britannique, a adopté une décision d'adéquation à l’égard du Royaume-Uni. Cela signifie que, dans la pratique, les données personnelles peuvent être transférées entre l'UE et le Royaume-Uni sans que des garanties supplémentaires ne soient requises. Par conséquent, les entreprises concernées n'ont plus rien à faire par rapport à cette question. D'autres mesures pratiques sont toutefois requises à la suite du Brexit pour les entreprises transnationales : (i) cartographier vos flux de données ; (ii) mettre à jour vos contrats, avis et politiques ; et (iii) examiner si vous devez nommer un représentant au Royaume-Uni : De manière inhabituelle cependant, la décision d'adéquation entre l'UE et le Royaume-Uni comprend une "clause de caducité" qui prévoit que la décision expirera automatiquement après 4 ans, à moins qu'elle ne soit renouvelée. Toute divergence du gouvernement britannique par rapport à la position actuelle - que ce soit à la suite d'un changement de loi ou d'interprétation de cette loi - pourrait signifier qu'en 2025, le Royaume-Uni ne soit plus considéré comme adéquat. À cet égard, les récents commentaires du gouvernement britannique suggèrent un éloignement de la position de l'UE en matière de protection des données..."
|
|
|
|
Cookies : amende et mises en demeure de l’été |
|
|
|
Plan de mise en conformité global : une deuxième campagne de mises en demeure. Le 19 juillet 2021, la présidente de la CNIL a mis en demeure une quarantaine d’organismes qui ne permettaient toujours pas aux internautes de refuser les cookies aussi facilement que de les accepter. Pour rappel, les acteurs concernés avaient jusqu’au 6 septembre pour se mettre en conformité.
Pour en savoir plus, cliquez ici
50.000 euros d’amende pour le dépôt de cookies publicitaires sans consentement. Dans une délibération du 27 juillet 2021, la CNIL a sanctionné la SOCIÉTÉ DU FIGARO qui, en sa qualité d’éditrice du site web lefigaro.fr, aurait dû s’assurer que ses partenaires ne déposaient pas de cookies publicitaires avant que les utilisateurs aient fait le choix de les accepter. Elle rappelle ainsi que le fait que les cookies proviennent de partenaires n’affranchit pas l’éditeur du site de sa propre responsabilité dans la mesure où il a la maîtrise de son site et de ses serveurs.
Pour en savoir plus, cliquez ici
|
|
|
|
Fin de l’application du RGPD au Royaume-Uni depuis le 1er juillet 2021 : la vigilance s’impose
|
|
|
|
Les Britanniques auront une fois de plus été fidèles à leur réputation de fins négociateurs en parvenant à obtenir, à moins de 72h de l’échéance, un statut de pays reconnu d’un « niveau de protection adéquat », au terme de deux décisions d’adéquation rendues par la Commission européenne le 28 juin 2021 aux visas du RGPD et de la Directive Police-Justice. La Commission s’est livrée à un examen minutieux du système juridique britannique, notamment s’agissant des dispositions législatives permettant aux autorités d’accéder à certaines données dans le cadre de leur pouvoir d’enquête. L’heure est toutefois à la prudence face à ces deux décisions destinées à assurer une continuité dans la fluidité des échanges et poursuivre la lutte contre la criminalité, puisque la Commission y a introduit une clause « de suppression automatique » d’une durée de 4 ans. Les entreprises transférant des données outre-Manche devront donc surveiller attentivement les évolutions du droit britannique afin de s’assurer que les droits notamment octroyés aux autorités publiques n’excèdent pas les contours des accès prévus par le RGPD.
Pour en savoir plus, cliquez ici
|
|
|
|
Les nouvelles « CCT Sous-traitants » : la volonté marquée d’encadrer davantage les contrats de sous-traitance
|
|
|
|
Faisant coup double, la Commission européenne a adopté le 4 juin 2021, non seulement de nouvelles clauses contractuelles types (CCT) de transfert, mais également des CCT de sous-traitance (qui sont exigées par l’article 28 du RGPD) par la décision d’exécution (UE) 2021/915), entrée en vigueur le 27 juin 2021, dans le respect des exigences de l’article 28 du RGPD. Particulièrement détaillées, ces clauses ont vocation à l’exhaustivité, étant précisé qu’elles contiennent une clause d’amarrage ou d’adhésion pour toute nouvelle partie qui souhaiterait y adhérer après accord, et doivent prévoir spécifiquement les mesures de sécurité mises en œuvre. Avec ce jeu de clauses, l’Europe renforce sensiblement son contrôle, et semble afficher une certaine volonté de limiter les dérives.
Pour en savoir plus, cliquez ici
|
|
|
|
Lundi 8 novembre de 14 h à 18 h |
|
|
|
CNIL AIR2021 : Entre partage et protection : quelle éthique pour l’ouverture des données ?
|
|
|
|
La CNIL poursuit sa mission éthique héritée de la loi pour une République numérique. Le 8 novembre 2021, elle propose une tribune au cours de laquelle politiques et scientifiques tenteront de trouver un équilibre entre l’Open data, destiné à favoriser l’innovation et la transparence dans l’intérêt général, et la protection individuelle des données de tout un chacun. Cette conférence abordera, entre autres, les difficultés liées à l’ouverture des données pour tous, dans une ère où les protéger revêt la plus haute importance.
Pour en savoir plus cliquez ici
|
|
|
|
Le département Immatériel et Numérique de klein • wenner
Forte d’avocats expérimentés, experts en droit du numérique et du RGPD, l’équipe Immatériel & Numérique de klein • wenner a développé une pratique transversale inédite en droit de la donnée. En lien avec d’autres experts (cybersécurité, SI/gouvernance des données), elle propose une approche globale permettant de traiter l’ensemble des questions liées aux données (privacy, propriété intellectuelle, cybersécurité, et open data* – *avec l’équipe Droit public du cabinet).
|
|
|
|
La Lettre du DPO est une publication de klein • wenner qui traite vos données conformément à la règlementation protégeant les données à caractère personnel. Pour en savoir plus, cliquez ici.
|
|
|
|
|
|
|
|
