Intervention de Gwendal Le Grand

Un avis sur la mise en œuvre de l'arrêt Schrems a été publié assez rapidement par le Comité des CNIL européennes pour consultation publique. Nous travaillons aujourd'hui sur sa version définitive. La CNIL et le CEPD ont également rédigé des questions fréquentes pour répondre aux entreprises.

Cette décision Schrems est cruciale sur trois plans. La Cour a reconnu la validité des clauses contractuelles-types de la Commission européenne comme outil de transfert. Elle a toutefois précisé que pour recourir à cet outil, il appartient à l'exportateur des données de vérifier que la législation applicable à ce transfert dans le pays tiers de destination n'aboutit pas à affaiblir le niveau de protection des données. À défaut, des mesures supplémentaires doivent être prises pour protéger les données. Enfin, la Cour a invalidé la décision concernant le bouclier de protection des données.

Le CEPD a publié des recommandations. Une consultation publique a été ouverte jusqu'en début d'année. Leur mise à jour est en cours pour tenir compte des nombreux commentaires reçus.

Concernant la question de l'accès aux données par les autorités américaines, l'une des premières questions à se poser pour déterminer si l'entité est sujette à l'extra-territorialité du droit américain est de savoir si la garde, la possession ou le contrôle des données concernées relèvent d'une société soumise au droit américain. Selon le Cloud Act, un responsable de traitement ou un fournisseur de communications électroniques ou de services informatiques distants, dont les traitements sont soumis au RGPD, pourrait devoir répondre à un mandat des autorités américaines en vertu du Cloud Act. Un sous-traitant de responsable de traitement américain, établi dans l'Union européenne, peut être destinataire d'un mandat des autorités américaines pour les données qu'il sous-traite.

La section 702 du FISA n'apporte pas de précision sur la portée extraterritoriale des ordres à produire, mais elle ne restreint pas ces demandes aux seules données stockées sur le territoire américain, ce qui implique un possible accès à des informations en dehors du territoire américain. Il n'y a donc pas de doute sur le caractère extraterritorial des acquisitions et des interceptions fondées sur l' Executive Order 12333.

L'utilisation des logiciels et de solutions techniques brevetés par des sociétés américaines n'est pas déterminante de la possibilité pour les autorités américaines de contraindre des sociétés à divulguer des données, dès lors que ces solutions sont utilisées par des responsables de traitements qui ne sont pas soumis à la juridiction américaine. Il suffit de s'assurer que ces solutions techniques ne permettent pas un accès aux données par le biais de portes dérobées, intégrées par des développeurs à la demande des autorités américaines, notamment en application de la section 702 du FISA.