L’invalidation du Privacy Shield, le petit caillou qui dérange les programmes de surveillance

La nouvelle est tombée par un arrêt majeur de la Cour de justice de l’Union européenne (CJUE) du 16 juillet 2020 dans l’affaire dite « Schrems II » : la CJUE invalide la décision de la Commission européenne relative au Privacy Shield, cinq ans après l’invalidation du Safe Harbor.

1. L’invalidation du Privacy Shield

L’invalidation du Privacy Shield ne repose pas sur un décalage entre les pratiques de protection de l’industrie européenne de la donnée et celles de ses concurrents, (et en particulier celles des géants du numérique), mais sur les pratiques du gouvernement des États-Unis et, notamment, sur sa politique de surveillance généralisée et ses incidences sur la protection des données personnelles des citoyens européens.

La CJUE énonce clairement que la décision instaurant le Privacy Shield, à l’instar de la décision relative au Safe Harbor, consacre « la primauté des exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation américaine » ce qui constitue un risque pour les droits fondamentaux des personnes dont les données sont transférées vers les États-Unis.

La Cour invalide donc cette décision en précisant que l’existence de programmes de surveillance empêche les entreprises américaines de respecter la réglementation européenne. Elle reconnaît ainsi l’existence de ces programmes, relevant de la sécurité nationale, et analyse leurs fondements (en l’occurrence l’article 702 FISA et l’Executive order 12333 qui encadrent les programmes PRISM et UPSTREAM) et leurs régimes juridiques pour en déduire qu’ils n’offrent pas “les limitations et les garanties nécessaires à l’égard des ingérences autorisées par sa réglementation nationale et n’assure pas non plus une protection juridictionnelle effective contre de telles ingérences”. Il est intéressant de noter que la CJUE ne fonde son argumentaire que sur la base de la réglementation alors même que l’essentiel de ces programmes est, et demeure, au mieux discret, et parfois clandestin, dont le fonctionnement ne peut se déduire de la seule réglementation.

Nul doute que les informations non réglementaires et non officielles sur ces programmes, divulguées par les lanceurs d’alerte ont constitué une source d’éclairage non négligeable pour la CJUE.

Au final, c’est l’opacité et le caractère arbitraire et massif de ces programmes qui est sanctionné par la Cour au travers de l’argument d’absence de proportionnalité.

La Cour profite de cet arrêt pour préciser que les autorités européennes sont « tenues de s’acquitter de [leur] responsabilité de veiller à ce que le RGPD soit pleinement appliqué avec toute la diligence requise ». Or, il est évident qu’aucune autorité n’est en mesure, sinon par des données statistiques, de vérifier que la protection des citoyens européens est effective devant les tribunaux américains et que leurs droits fondamentaux sont respectés dans l’enceinte des autorités gouvernementales.

Finalement, cet arrêt marque un « changement fondamental », comme le souligne le requérant lui-même, et permet d’ouvrir la réflexion sur l’ensemble des transferts de données avec les pays tiers à l’Union européenne et en particulier les fameux Five Eyes. De nombreux pays (Australie, Russie, Chine, etc.) ont adopté des législations relatives à leur sécurité nationale rendant possibles des ingérences dans les droits fondamentaux et cette décision pourrait constituer un socle de référence par l’étude des décisions d’adéquations, « à la lumière de la Charte » des droits fondamentaux de l’Union européenne. Au-delà de ces aspects, la CJUE consacre la portée extraterritoriale du RGPD et impose aux programmes de surveillance de prévoir des voies de recours effectives pour les citoyens européens (sic). Rappelons que certains observateurs estiment que ces programmes sont détournés de leur finalité initiale et utilisés également à des fins économiques … ce qui enjoindrait les entreprises d’adopter un raisonnement similaire à celui exposé par la CJUE, et donc d’encadrer plus strictement les transferts de données vers les États-Unis, pour les données sensibles non personnelles. Le RGPD sera-t-il également détourné pour assurer, de manière tout à fait incidente, une meilleure protection des entreprises européennes ? Ou pour encadrer les programmes européens de renseignement ?

En tout état de cause, les responsables européens disposent d’un moyen de négociation supplémentaire sur les fournisseurs de service numérique outre-Atlantique pour requérir des mesures de sécurité complémentaires qu’ils ne seront pas en mesure d’apporter sauf à faire modifier la loi américaine. Nul doute que les efforts des lobbyistes vont se concentrer autant sur Washington que sur Bruxelles dans les prochaines semaines.

2. Quels impacts sur la conformité ?

La présente décision a invalidé la décision relative au Privacy Shield mais pas la décision relative aux clauses contractuelles types de la Commission européenne. Il est donc toujours possible de fonder un transfert de données sur ces clauses, comme se sont empressées de le rappeler les entreprises américaines. Toutefois, la Cour précise que ces clauses doivent présenter un haut niveau de garantie.

Il est par conséquent nécessaire :

  • pour l’ensemble des acteurs qui se fondaient sur le Privacy shield pour des transferts internationaux de données, d’inclure ces clauses contractuelles types ou des instruments équivalents comme des codes de conduite approuvés ou des règles d’entreprise contraignantes ;
  • pour les responsables de traitement, qui utilisaient les produits ou services d’entreprises américaines (notamment des GAFA), de vérifier que ces entreprises ont substitué au Privacy Shield un autre instrument, valable et effectif et, à défaut, envisager la résilience (ou, dans le cas extrême, le changement) de leurs fournisseurs défaillants…

Valentin Schabelman & Frédéric Duflot – Examin

Compliance, Covid et questionnaire médical

De nombreux salariés en télétravail sont frileux de retourner sur leurs lieux de travail et de nombreux employeurs se demandent comment assurer ce retour au travail dans les meilleures conditions et rassurer les employés quant à la maîtrise du risque de contamination par leurs collègues.

Dans un communiqué en date du 7 mai 2020, la CNIL précisait aux employeurs les données qu’ils pouvaient collecter auprès de leurs salariés en respectant leur vie privée : date, nom, prénom, contamination ou suspicion de contamination. Les employeurs devaient également mettre en place des canaux dédiés et sécurisés. Plusieurs entreprises ont ainsi élaboré des questionnaires plus ou moins complexes pour savoir si certains de leurs salariés présentaient des risques, dans le but légitime de pouvoir adapter leur organisation du travail à la période post-Covid.

Les employeurs peuvent utiliser des questionnaires mais seul le personnel de santé compétent est en mesure d’avoir accès aux données des salariés contenant des informations relatives à leur état de santé, leur situation familiale, leurs conditions de vie ou encore sur leurs éventuels déplacements.

La CNIL précisait « qu’il en va de même pour les tests médicaux, sérologiques ou de dépistage du COVID-19 dont les résultats sont soumis au secret médical : l’employeur ne pourra recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé. Il ne pourra alors traiter que cette seule information sans autre précision relative à l’état de santé de l’employé, d’une façon analogue au traitement des arrêts de maladie qui n’indiquent pas la pathologie dont l’employé est atteint ».

Par conséquent, les employeurs ont deux options :

  • Soit ils ne collectent que la date, le nom, prénom du salarié, et les données relatives à une éventuelle contamination ou suspicion de contamination ;
  • Soit ils communiquent un questionnaire plus poussé aux salariés avec la collecte de données de santé. Dans cette hypothèse, seule la médecine du travail peut traiter les données collectées et remonter aux managers des salariés les seules données sur l’aptitude ou l’inaptitude des salariés à reprendre le travail.

En tout état de cause, la médecine du travail est le point focal du traitement de l’information médicale en entreprise et il ne peut s’agit du service des ressources humaines ou du manager de proximité. Elle pourra, si un ou plusieurs cas sont avérés, mener des actions complémentaires pour éviter la propagation de la maladie en entreprise et protéger les salariés (identifier les contacts potentiels, procéder à un nettoyage, etc.).

Nota : La médecine du travail est un responsable de traitement autonome de l’employeur. Il faudra qu’elle mette en oeuvre ses propres obligations d’information et inscription au registre.

Il s’agit, comme dans tout programme de conformité (en l’occurrence sanitaire), de choisir les services les plus adaptés pour traiter le problème, de leur donner les moyens d’agir et de s’interdire de faire rentrer au forceps les nouveaux problèmes qui une organisation qui n’est pas taillée pour eux ;-).

Il est important de rappeler que :

  • Les données ne doivent être conservées que pour une durée très limitée ;
  • Les salariés doivent être informés de la collecte de leurs données et des finalités de cette collecte (respect de l’article 13 du RGPD) ;
  • Le traitement doit être indiqué dans le registre de l’employeur.

Pour plus de simplicité et pour ceux qui sont arrivés à la fin de cet article, Examin vous fournit un traitement relatif à ce questionnaire conforme au modèle simplifié élaboré par la CNIL. Il suffit de le demander en commentaire ;-).

Définir une bulle de compliance à domicile ?

La pandémie de la Covid 19 va de pair avec un usage renforcé du télétravail, propice à la cybercriminalité. Afin d’éviter que la généralisation de cette pratique induise des risques supplémentaires pour les données et les systèmes d’information des entreprises et des citoyens, la CNIL et le gouvernement ont fait part de leurs recommandations en ce qui concerne le télétravail. Ces recommandations vont dans un sens commun : créer une bulle de cybersécurité sur le lieu de domicile pour l’exercice de l’activité professionnelle en cloisonnant le lieu de télétravail et le lieu de vie. Cette séparation matérialise l’abandon d’une logique « Trust but verify », inadaptée à l’usage, au profit d’une stratégie plus offensive fondée sur le modèle « Zero Trust ».

Par analogie, on peut se demander comment les programmes de conformité s’accordent avec cette nouvelle pratique et notamment comment le contrôle mis en place par l’entreprise pour s’assurer du respect des réglementations peut être adapté. En effet, la perte du contrôle des entreprises sur leurs locaux implique une perte d’effectivité des mesures qu’elles ont mises en place. Il est nécessaire de maintenir à une effectivité pleine et entière de ce contrôle au sein de l’espace de travail, à domicile, des salariés exposés tout en préservant leurs libertés individuelles. De la même façon que les mesures techniques créent une bulle de cybersécurité autour du salarié, la mise en place de nouvelles mesures organisationnelles doit permettre de créer une bulle de conformité autour du salarié pour le protéger ainsi que son entreprise.

Cela suppose de mener des analyses de risques régulières afin de vérifier la conformité des entreprises et d’éluder le risque de sanctions par la mise en œuvre de registres, de procédures, de dispositifs d’alertes ou encore de Code de conduite constamment vérifiés et mis à jour. Il est néanmoins essentiel d’adapter ces mesures aux nouveaux risques et de ne pas imposer les mesures les plus draconiennes à tous, indépendamment du niveau de risque. L’invasion de la sphère privée par l’entreprise doit ainsi être tempérée par une contre-invasion de la sphère privée au sein de l’entreprise qui devra prendre en compte les spécificités de chaque employé ou de chaque typologie d’employé. Cela suppose une maturité importante de l’entreprise en matière de conformité et de risque ainsi qu’une lecture fine de la réglementation, mais les effets vertueux d’une telle démarche sont évidents.

La mise en place de la compliance de façon systémique, « by design », et continue permet de garantir la conformité d’une entité, mais également de favoriser la bulle de cybersécurité évoquée précédemment. En effet nombre de réglementations, comme le RGPD ou la directive NIS, exigent la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » [1].

Bref, un chaine de confiance qui ne demande qu’à être alimenté.

Valentin SCHABELMAN

Doctorant chercheur — Examin

Compliance, Covid-19 et attestation

« Une attestation à chaque sortie ? », « A quoi ça sert ? », « C’est compliqué », « C’est inutile », l’ensemble de ces remarques concernant les attestations de déplacement dérogatoire utilisées pendant le confinement illustre une incompréhension des personnes physiques concernant leurs fonctions. Quelques semaines après le déconfinement, explication de texte.

Le mécanisme des attestations n’est pas méconnu en France, du moins, par les personnes morales : il s’agit d’un mécanisme de compliance[1]. Généralement, les techniques de compliance ont pour effet de reporter sur les acteurs économiques des objectifs normalement dévolus à l’Etat[2]. C’est le cas en matière de protection des données ou de lutte contre le blanchiment pour lesquelles la réglementation impose la tenue de registres ou la mise en œuvre de procédures. Lors d’un contrôle, il sera, en effet, bien plus facile de démontrer que tel document n’existe pas ou a été mal rempli plutôt que de prouver qu’une entreprise n’a pas respecté son devoir de vigilance ou de transparence.

S’agissant de la pandémie de Covid-19, l’État devait trouver un mécanisme pour encadrer et contraindre les comportements des personnes physiques, les responsabiliser et, de manière accessoire, à l’heure des réseaux sociaux, assurer une application homogène de la réglementation pour éviter les incompréhensions et les sensations d’inégalité[3]. Il s’agissait donc d’objectiver un maximum la situation pour provoquer une réponse administrative et, le cas échéant, servir de base à une sanction.

L’idée de l’attestation, sur une idée déjà testée en Italie, s’est imposée au regard de ces objectifs. En effet, il est bien plus facile de vérifier si la personne avait (ou n’avait pas) une telle attestation plutôt que de vérifier la pertinence du motif impérieux qui serait invoqué par chaque personne. La seule discussion possible devenait donc « Avez-vous votre attestation ? », « Est-elle bien remplie ? » plutôt que de se lancer dans de longues discussions sur le pourquoi et le comment de l’errance de chaque personne.

L’attestation se devait, en outre, d’être une réelle contrainte. Le fait pour chaque personne physique de devoir rédiger une attestation à chaque sortie, d’une durée limitée[4], dont le formalisme est requis ad validitatem, permet de responsabiliser les personnes physiques qui, au moment de rédiger l’attestation, se poseront la question de l’importance de la sortie visée. En cela, l’application numérique qui est apparue quelques semaines plus tard était probablement une erreur car la simplification qu’elle engendrait était en contradiction avec l’objectif initial.

Comme pour les entreprises, l’attestation avait vocation à documenter une démarche préalablement à la sortie, pour le cas où un contrôle surviendrait. Et comme pour les entreprises, une sanction administrative voire pénale pouvait être prononcée en cas de défaut[5].

Cependant, rigueur juridique et précision ne sont pas incompatibles avec clarté et pédagogie. En l’espèce, un tel document aurait pu être autoporteur sur le plan pédagogique tout en répondant à une contrainte matérielle majeure (imprimable sur une page). Or, le langage administratif utilisé pour les attestations ne permet pas de remplir cet objectif pédagogique en empêchant les personnes physiques de s’approprier l’utilité de ces attestations. Les techniques de design ou de langage clair sont pourtant bien connues en sciences juridiques et en matière de légistique.

Quelques semaines après le déconfinement, l’attestation est encore un des sujets qui revient le plus dans nos conversations. Alors pourquoi tant de crispation ? Probablement car le mécanisme, inspiré sans aucun doute possible des techniques de compliance largement pratiquées dans les pays anglo-saxons, ne fait pas partie de notre culture juridique. Et pourtant, ce phénomène de la compliance est déjà devenu la norme dans nombre d’entreprises et nous le mettons quotidiennement en œuvre au sein d’Examin.

 

[1] La compliance (ou conformité) peut être définie comme « un ensemble de techniques, juridiques et de gestion, dont la mise en œuvre est imposée aux entreprises de taille significative dans le but de contrôler l’application effective des règles juridiques et éthiques qui leur sont applicables et de diminuer le risque d’infraction à ces règles », Gaudemet, Antoine, « Qu’est-ce que la compliance ? », Dans Commentaire 2019/1 (Numéro 165), pages 109 à 114.

[2] Frison-Roche, M.-A, « Compliance : Avant, maintenant, après », working paper, https://mafr.fr/fr/article/compliance-avant-maintenant-apress/, 12 décembre 2017.

[3] Il s’agissait en particulier de limiter (pour le meilleur et pour le pire) l’interprétation de la situation par les forces de police.

[4] Souvenez-vous que la première version de l’attestation ne mentionnait pas l’heure ce qui pouvait quasiment éliminer son caractère contraignant.

[5] La sanction due à la violation des règles du confinement (et donc de l’attestation) pouvait être de l’ordre de 3.750 € d’amende et d’une peine d’emprisonnement de six mois au maximum, outre des peines complémentaires (art. L.3136-1 du code de la santé publique).