L’autorité danoise de contrôle de la protection des données, Datatilsynet, s’est prononcée dans une décision du 14 juillet 2022 sur l’utilisation des produits Google par une commune et notamment sur leur transfert vers les États-Unis :
Contexte et interdictions
Le contexte était l’utilisation de Chromebooks de Google et de Google Workspace par des municipalités danoises, en l’occurrence la municipalité de Helsingør. En septembre 2021, l’autorité danoise avait demandé à la municipalité de procéder à une évaluation des risques dans ce contexte, qui, en fonction des résultats, devait déboucher sur une véritable analyse d’impact relative à la protection des données.
En novembre 2021, la commune avait présenté une évaluation à ce sujet, qui estimait que le risque d’une utilisation des données personnelles contraire au contrat, par exemple à des fins de marketing ou à d’autres fins, était faible.
Le risque de transfert vers les États-Unis est également faible. Le partenaire contractuel de la commune était Google Cloud EMEA Ltd. et les données personnelles n’étaient stockées que dans l’EEE. Il ressort des considérants de l’autorité que la commune s’est vraisemblablement appuyée à cet égard sur le Formulaire TIA de David Rosenthal a soutenu. Un accès à distance à des fins d’assistance par Google LLC aux États-Unis n’était toutefois pas exclu (Google utilisant la SCC au sein de son groupe – voir à ce sujet notre Contribution à la mise en œuvre de la CSC).
Sur la base de cette estimation, l’autorité a maintenant pris la décision suivante :
- de la commune est interdit de traiter des données personnelles avec les Chromebooks et Google Workspace for EducationLes données sont traitées conformément aux dispositions du RGPD, jusqu’à ce que cette activité de traitement soit mise en conformité avec le RGPD ;
- chaque Le transfert de données personnelles vers les États-Unis est suspenduLa commune ne peut pas utiliser les données personnelles jusqu’à ce qu’elle prouve que le RGPD est respecté ;
- la municipalité doit désactiver les utilisateurs et les droits, et les droits transférés Supprimer des donnéesLe projet de loi prévoit un délai de mise en œuvre ;
- une infraction à ces injonctions peut être punie d’une amende ou d’une peine d’emprisonnement de six mois au maximum (ceci parce que le droit danois n’autorise pas d’amendes selon le RGPD, mais prévoit des amendes individuelles ou des peines d’emprisonnement ; voir considérant 151 du RGPD et articles 41 et suivants de la loi sur la protection des données. loi danoise sur la protection des données).
Il est intéressant de noter que l’autorité n’a pas infligé d’amende, mais a seulement menacé de le faire en cas de non-respect. Les autorités italiennes, autrichiennes et françaises n’ont pas non plus, pour autant que l’on puisse voir, infligé d’amende lors de leurs décisions post-freinage – peut-être un reste de prise de conscience que ces interdictions ne tiennent compte de la réalité que de manière limitée.
Principaux résultats
L’attitude de l’autorité peut être qualifiée d’exceptionnellement stricte sur tous les points. Cela ne concerne pas seulement le thème du transfert vers les États-Unis, où l’approche du risque zéro est adoptée dans toute l’Europe (voir ci-dessous), mais aussi d’autres points, comme les exigences en matière de documentation des risques et de réalisation d’une analyse d’impact relative à la protection des données.
Il est frappant de constater que l’autorité impose certes des obligations étendues (par exemple, la commune ne peut pas se contenter de s’appuyer sur l’interdiction contractuelle du détournement des données par Google, des TOM sont également nécessaires – l’autorité ne considère manifestement pas Google comme fidèle au contrat), mais qu’elle ne les justifie guère sur le plan juridique. Elle se contente pour l’essentiel de renvoyer à l’article 5, paragraphe 2 (responsabilité) et à la boîte noire de l’article 24 du RGPD, qui décrit la “responsabilité du responsable du traitement” de manière générale et donc susceptible d’être adoptée par toute opinion.
Comme pour de nombreuses autres décisions des autorités de protection des données, on a l’impression qu’une autorité poursuit une approche maximaliste qu’elle ne légitime pas d’un point de vue dogmatique, mais par son sens de la mission. Cela fait d’une autorité d’application du droit une autorité politique. Si les tribunaux n’interviennent pas et ne fondent pas les décisions – indépendamment du résultat – sur une base juridiquement solide, cela ne peut être qualifié que de violation de la Constitution, c’est-à-dire de rupture de la séparation des pouvoirs. De ce point de vue, la retenue du PFPDT, relevée à plusieurs reprises, est salutaire.
Constatations sur la gestion des risques
- Évaluation des risques insuffisanteL’évaluation des risques de la commune de Helsingør n’a généralement pas tenu compte de certains scénarios, notamment de nature technique.
- Pas de mitigation suffisante du risque de changement d’affectationEn ce qui concerne le risque de détournement des données par Google, il fallait certes tenir compte du fait qu’un détournement des données par Google était exclu par contrat. Néanmoins, la commune n’avait pas suffisamment documenté le fait que le respect du RGPD était assuré par Google en tant que sous-traitant. Il ne suffit pas de s’appuyer uniquement sur des garanties contractuelles ( !). La commune aurait plutôt dû évaluer les mesures techniques ou organisationnelles visant à réduire le risque de détournement d’usage.
- Pas de mise en œuvre de la DSFA: Chaque Un risque qui a un impact important sur les droits et libertés des personnes concernées nécessite une analyse d’impact relative à la protection des données, même en cas de probabilité d’occurrence relativement faible.
Pour le transfert vers les États-Unis
Obligations du responsable
Le point de départ était ici le fait que Google ne stocke les données personnelles de la commune que dans l’espace de l’EEE, mais qu’en vertu de la loi sur la protection des données, il n’a pas le droit d’accéder à ces données. La liste de Google peut faire appel à des sous-traitants en dehors de l’EEE et, entre autres, aux États-Unis.
Ici, l’autorité adopte le point de vue responsable doit disposer d’une base juridique pour le transfert vers des pays tiers, y compris un transfert pour des services d’assistance.
En particulier, les deux, le responsable du traitement et le sous-traitant, s’engagent àLe responsable du traitement doit veiller à ce qu’une telle base juridique existe, même si le sous-traitant a conclu la CCP avec un sous-traitant dans un pays tiers. Il n’est toutefois pas évident de savoir si le responsable du traitement a uniquement une obligation de documentation ou s’il a l’obligation originale de veiller à la légalité du transfert ultérieur par le sous-traitant.
TIA : évaluation du risque d’accès
Dans son TIA, la municipalité avait notamment pris en compte le fait que la FISA 702 n’autorisait pas l’accès aux données si le Accès à une personne américainec’est-à-dire qu’une personne (y compris une entreprise) qui se trouve aux États-Unis à ce moment-là (§1881a(b)). Cela exclut l’accès à Google LLC, car les données pertinentes sont ici transmises à Google LLC et donc à une personne américaine.
L’autorité de protection des données ne se rallie pas à cet argument. Selon elle, cette limitation ne s’applique que si l’accès aux données a pour but de fournir des informations sur les personnes américaines de relever, non chez Entreprises américaines :
Après avoir examiné les restrictions légales à la collecte d’informations en vertu de la FISA 702, l’autorité de protection des données considère que les restrictions [prévues à l’article 1881a(b)] visent à empêcher la collecte – tant directe qu’indirecte – de Informations sur les personnes américainesy compris les entreprises, d’empêcher ces personnes d’atteindre la cible de l’enquête sont
Selon l’autorité danoise de protection des données, les restrictions ne s’appliquent donc pas si et dans la mesure où des citoyens danois ou la municipalité de Helsingør dans son ensemble font l’objet d’une collecte de données en vertu de la FISA 702.
En outre, le CEPD estime que le FISA 702, de par sa finalité, fournit une base juridique aux autorités répressives américaines pour obtenir des informations sur des personnes étrangères dont on peut supposer qu’elles se trouvent en dehors des États-Unis, afin de collecter des informations sur les services de renseignement étrangers.
Dans ce contexte, l’autorité chargée de la protection des données estime que les données à caractère personnel transmises à Google LLC pourraient être obtenues par les autorités répressives américaines. Ce faisant, le CEPD a tenu compte du fait que de considérer Google LLC comme un “fournisseur de services de communications électroniques et que les données à caractère personnel transmises à Google LLC concernent les élèves et les employés de la commune, c’est-à-dire des citoyens danois.
Exigences relatives au niveau de protection dans le pays de destination
En ce qui concerne le niveau de protection requis, il découle du Arrêt Schrems II de la CJCEque
un niveau de protection des données à caractère personnel équivalent à celui qui est assuré dans le pays tiers concerné doit être garanti. correspond en substance au niveau de protection au sein de l’UE/EEE.
Selon l’autorité, cette exigence ne s’applique apparemment pas seulement à la question de savoir si un État dispose d’un niveau de protection adéquat, mais aussi aux transferts sur la base des clauses contractuelles types. Elle justifie cela – pas explicitement, mais dans le contexte – par le RGPD 44 :
Tout transfert de données à caractère personnel […] n’est autorisé que si le responsable du traitement et le sous-traitant respectent les conditions énoncées dans le présent chapitre […]. Toutes les dispositions du présent chapitre doivent être appliquées afin de garantir que le ne porte pas atteinte au niveau de protection des personnes physiques garanti par le présent règlement sera.
Cela signifie que
toute transmission doit être soumis à des garanties appropriées. Il ne suffit donc pas que la quasi-totalité des virements ou un certain pourcentage des virements bénéficient de la protection du règlement, à moins que celui-ci ne le prévoie.
Voici sans doute le Approche risque zéro de l’autorité de surveillance danoise. C’est un point de vue inhabituel – on peut peut-être le paraphraser comme suit : Si l’on accepte un risque résiduel d’accès des autorités de 2,5%, statistiquement 2,5% des transmissions ne bénéficient pas d’une protection suffisante, raison pour laquelle un niveau de protection suffisant fait défaut dans ce domaine. Ce n’est pas ce que dit l’autorité, mais on ne peut guère comprendre autrement la remarque selon laquelle chaque et non pas seulement que presque toutes les transmissions nécessitent une protection.
Absence de mesures supplémentaires
L’autorité a donc conclu que des mesures de protection complémentaires aux CCS étaient nécessaires, nonobstant l’évaluation des risques par la commune :
Par conséquent, le CEPD estime que le transfert des données en question aux États-Unis est soumis à des conditions qui empêchent le contrat type utilisé comme base du transfert d’être un moyen adéquat pour garantir d’un niveau de protection substantiellement équivalent à celui qui existe dans l’UE/EEE. La municipalité de Helsingør est donc tenue de veiller à ce que des mesures supplémentaires soient prises pour amener le niveau de protection au niveau requis.
Or, de telles mesures feraient défaut ici. Le cryptage des données n’est pas suffisant. Apparemment, Google LLC a pu accéder aux données en texte clair (bien que la clé ait été gérée par Google EMEA, mais en cas d’assistance, un décryptage était apparemment nécessaire), selon la présentation de la commune elle-même.