Transferts hors UE : pas de mise en conformité proportionnée au niveau de risque

19 mai 2022 / Blog

Le 22 avril 2022, et après avoir déjà frappé un grand coup avec sa première décision concernant Google Analytics qui aura par la suite été suivie par la CNIL, l’autorité de protection des données autrichienne revient à la charge contre les outils Google et les transferts hors UE qu’ils engendrent, estimant cette fois que la mise en conformité d’un tel transfert ne doit pas être proportionnée au niveau de risque du traitement concerné. En revanche, il convient d’utiliser cette méthode pour déterminer si un transfert hors UE est réalisé ou non : autrement dit, dès lors qu’il y a un risque sérieux de transfert, il est nécessaire de mettre ces mesures en place. Par ailleurs, l’APD ne se gardera pas, dans sa décision, de préciser que l’anonymisation des données par Google n’est pas une mesure suffisante de sécurisation du transfert des données, avant — de manière plus surprenante — de l’exonérer de toute responsabilité dans l’affaire concernée.

La mise en conformité à ne pas fonder sur le niveau de risque du traitement

Il était courant que les sociétés réalisant des transferts de données hors UE, en particulier les GAFAM, adaptent les mesures de sécurité supplémentaires mises en œuvre au niveau de risque engendré par ce transfert pour les personnes concernées. Finalement, ces entreprises prônent l’application d’un principe de proportionnalité : les « garanties appropriées » à apporter devraient varier selon les données transférées et la nature des opérations réalisées en dehors de territoire du l’Union. Un exemple de société faisant application de cette doctrine est la société de mailing Sendinblue, dont la liste de sous-traitants comprend des GAFAM : jusqu’alors, il pouvait être considéré que transférer une simple adresse mail vers les Etats-Unis ne présentait pas de risque particulier pour les personnes concernées.

La décision autrichienne vient remettre en cause cette doctrine, et la pratique en découlant : selon elle, le Chapitre V du RGPD [relatif aux transferts de données en dehors de l’Union Européenne] ne permet pas de fonder sa méthode de mise en conformité sur le niveau de risque engendré par le transfert de données. L’APD le justifie par le fait que le Chapitre V n’évoque pas une telle approche alors que le RGPD le fait à de nombreuses autres reprises (par exemple à l’article 24 relatif au rôle du responsable de traitement), et en déduit que le législateur n’a pas entendu permettre le recours à une approche fondée sur le risque.

Concrètement, et pour reprendre l’exemple en introduction, peu importe que les données transférées sont de simples adresses mails ou des données de santé : les exigences de sécurisation du transfert (ou « garanties appropriées » ) à mettre en place sont les mêmes. Et en matière de transfert vers les Etats-Unis, ces exigences peuvent être particulièrement difficiles à atteindre, puisqu’à lire les récentes décisions en la matière, il faut prévenir l’accès aux données des services de renseignement. Si cette position favorise le développement des outils européens, elle risque également de poser de nombreuses difficultés d’application, notamment aux éditeurs de site web. Malheureusement, force est de constater qu’il n’existe pas toujours d’alternative parfaitement souveraine. Pour reprendre l’exemple précédent, à notre connaissance, il n’existe pas de prestataires de mailing n’utilisant pas les services des GAFAM. Il reste possible d’auto-héberger, mais cela n’est pas adapté à l’envoi de mails en masse.

A l’occasion de ce rappel concernant les garanties appropriées à mettre en place, l’APD autrichienne en profitera pour pointer une fois de plus les problèmes de conformité des outils proposés par Google. En particulier, elle estime que l’anonymisation des adresses IP proposée par Google Analytics n’est pas suffisante pour permettre le transfert dans la mesure où Google traite tout de même cette adresse IP pendant une courte durée, ce qui implique que les autorités américaines peuvent demander à y accéder.

Une méthode pourtant utilisée au stade de la caractérisation du transfert

Si une approche fondée sur le risque ne peut pas être adoptée pour mettre en conformité un transfert de données en dehors de l’UE, il faut en revanche s’en servir pour caractériser ce même transfert. C’est en tout cas ce que laisse entendre l’autorité autrichienne, selon laquelle, en substance, « il importe peu que les services de renseignement américains demandent effectivement ou non l’accès à des données relatives à des résidents européens dès lors que la législation leur permet de le faire » . Ainsi, le seul transfert de données relatives à la résolution de l’écran d’un internaute européen identifié ou identifiable et qui n’ont à priori aucun intérêt pour les services de renseignement américains doit tout de même être réalisé dans les conditions précitées.
Cette position n’a pas pour effet de restreindre le champ des données concernées par l’obligation de sécurisation du transfert, au contraire : toute donnée relative à des résidents européens et qui est accessible par les services de renseignement américains est concernée, même si cette donnée n’est manifestement d’aucune utilité pour ces services. Malgré cela, cette position trouve sa logique dans le fait que les autorités européennes n’ont pas la capacité de savoir et/ou de contrôler quand et comment les autorités américaines accèdent aux données, et ne peuvent que difficilement savoir la nature des données qui vont intéresser les espions dans le cadre de leurs enquêtes.

Admettons par exemple que ces services de renseignement aient mis la main sur le téléphone d’une personne soupçonnée de prévoir un attentat terroriste, mais que toutes les photos, vidéos, et historiques ont été supprimés et ne sont pas récupérables. En interrogeant les GAFAM à partir des caractéristiques techniques de ce téléphone et du navigateur employé, il pourrait être possible de retracer en grande partie la navigation de cette personne sur internet.

En poussant un peu le raisonnement, il est possible de considérer que dès lors qu’il existe une possibilité pour une entreprise ou une autorité en dehors de l’Union Européenne d’accéder à des données personnelles de résidents européen, il doit être considéré qu’il existe un transfert de données hors Union Européenne. Il est dès lors nécessaire de mettre en place des mesures appropriées pour sécuriser ce transfert ou pour l’empêcher (par exemple en chiffrant les données et en mettant la clef dans un lieu non accessible pour cette entreprise ou autorité).

Seul l’exportateur peut-être sanctionné en cas d’inconformité

Cette décision n’est pas toute noire pour Google : en effet, l’APD autrichienne a estimé que le géant américain ne pouvait pas être tenu responsable des problèmes de conformité à la réglementation que son outil de mesure d’audience engendre, tels que l’insuffisance des garanties mises en œuvre pour sécuriser le transfert de données vers les Etats-Unis .
Au premier abord, cette décision ne peut que susciter l’étonnement : un transfert de données implique nécessairement deux parties : celle qui exporte, et celle qui importe. Faire peser l’entière responsabilité sur l’exportateur est peut-être un peu sévère. Pour justifier cette solution, l’autorité cite les lignes directrices 05/2021 du CEPD, selon lesquelles un transfert de données doit être définit comme le fait, pour un responsable de traitement « de donner accès (par quelque moyen que ce soit) à des données à caractère personnel à un autre responsable de traitement, co-responsable, ou sous-traitant qui se trouve en dehors de l’Union de l’Européenne. »
En l’espèce, Google n’a pas transféré de données : la société s’est contentée de les recevoir. Dès lors, l’éditeur du site web ayant installé Google Analytics a bien réalisé un transfert de données en dehors de l’Union Européenne, mais tel n’est pas le cas de Google. En conséquence, la société américaine échappera, pour cette fois en tout cas, à la sanction … contrairement à l’éditeur du site web, qui n’avait toutefois pas entendu la décision de l’autorité pour changer d’outil de mesure d’audience.

Il convient cependant de préciser que cela n’exclut pas Google de respecter les autres obligations du RGPD, telles que celle de compléter la documentation appropriée, d’informer les personnes concernées, de répondre à leurs demandes d’exercice des droits, ou encore de notifier la CNIL de toute violation de données.