- David Rosenthal met à disposition des formulaires structurés pour l’évaluation des risques liés aux transferts de données personnelles à l’étranger.
- Les formulaires saisissent le droit d’accès légal local, les mesures du fournisseur et autorisent les TIA pour les États-Unis, la Russie, la Chine, l’Inde.
- Les autorités utilisent, acceptent ou critiquent la méthode ; le débat entre l’approche basée sur le risque et le risque zéro persiste.
- Rosenthal a publié une FAQ complète sur la méthode afin d’objectiver le débat et d’expliquer la législation américaine en matière de surveillance.
Comme on le sait, David Rosenthal a mis à disposition plusieurs formulaires qui aident à évaluer les risques liés aux transferts de données personnelles à l’étranger (voir à ce sujet ici).
Jusqu’à présent, il s’agit des formulaires suivants, dans l’ordre logique :
- Enquête sur le droit local en rapport avec le Lawful AccessLe risque d’accès étant déterminé par le droit local (abstraction faite des circonstances de la transmission et des mesures de protection techniques et organisationnelles prises), il est nécessaire de connaître le droit local pertinent et, en particulier, de faire la distinction entre les bases juridiques qui satisfont aux principes de l’État de droit et qui ne posent donc pas de problème du point de vue de la protection des données, et les bases juridiques probématiques. Un formulaire est prévu à cet effet, qui permet d’interroger ce droit de manière structurée. Des enquêtes de ce type existent déjà pour l’Inde, la Serbie, la Macédoine du Nord et le Kosovo → Excel.
- Enquête sur les mesures d’un US–Fournisseurs d’accès : Le risque d’accès dépend également des mesures prises par un fournisseur d’accès américain impliqué. Un formulaire est également prévu à cet effet → même Excel
- TIA sous le SCC de l’UE – celui-ci se base, comme nous l’avons dit, sur le droit local et examine le risque d’accès dans ce contexte. Le formulaire contient plusieurs feuilles avec différents cas d’utilisation selon le droit américain, c’est-à-dire en cas de transmission aux États-Unis, et des AIT pour la Russie, la Chine et l’Inde, ainsi que des instructions sur la manière de les remplir → même Excel
- un TIA simplifié pour les cas plus simples → même Excel
- TIA pour les secretsContrairement au droit de la protection des données, les dispositions relatives au secret interdisent – en fonction de l’orientation de la protection et des circonstances – la communication même aux autorités de pays offrant un niveau de protection adéquat et pas seulement en vertu d’un droit problématique, mais de tout droit local. L’examen est donc plus large et plus approfondi que le seul examen du droit de la protection des données. Il existe un formulaire séparé à cet effet → Excel
L’IAPP a publié deux formulaires de David Rosenthal, le TIA pour la SCC et le TIA pour les secrets.
Ces formulaires servent
- tout d’abord, pour relever le droit, car sans cette étape, un EIT ne peut pas être significatif pour un pays donné, c’est-à-dire qu’il n’est pas possible de vérifier si les conditions de l’infraction sont remplies et si des limites ou des exceptions s’appliquent ;
- l’établissement des faits techniques de la part du fournisseur d’accès – c’est une partie de l’évaluation, en combinaison avec des mesures propres ; et
- l’évaluation structurée et documentée du risque qu’un accès soit possible selon le droit local et les conditions organisationnelles et techniques.
Les formulaires sont largement utilisés. Cela a notamment eu pour conséquence que différents Autorités s’en sont plus ou moins occupés. Connu du public :
- le Le PFPDT dans l’affaire SUVA – remarques critiques sans conclusion ;
- le Conseil d’État zurichois – Utilisation du formulaire par défaut, probabilité maximale de 10% acceptée comme suffisamment faible ;
- les autorités de protection des données du canton de Bâle-Ville – accepte l’utilisation des formulaires dans un cas concret ;
- le ministère public du canton de Bâle-Ville – méthode appropriée pour la décision d’externalisation sous le secret de fonction et le secret professionnel ;
- le Autorité danoise de contrôle de la protection des données – Critique du formulaire (sans que l’on sache sous quelle forme le formulaire a été utilisé) ;
- le ministère néerlandais de la Justice dans le cadre de l’utilisation de Microsoft Teams, OneDrive, Sharepoint and Azure AD – réalisation d’un TIA sur la base du formulaire Rosenthal) ; voir ici.
D’autres avis sont disponibles, mais ne sont pas connus du public.
Les autorités ont donc utilisé le formulaire en partie elles-mêmes, en partie elles l’ont accepté et en partie elles l’ont critiqué. Ce dernier point s’inscrit dans le contexte du débat bien connu sur l’approche fondée sur le risque et l’approche “risque zéro”. Toutes les autorités ne se sont toutefois pas penchées sur la question. David Rosenthal en a profité, de publier des FAQ complètes sur sa méthodeLe site Internet de l’Union européenne contient des informations détaillées sur la législation américaine en matière de surveillance :
Espérons que la FAQ contribuera à objectiver le débat – ce serait bien nécessaire.
Il est incontestable que le droit de la protection des données suit généralement une approche basée sur les risques, pas moins que d’autres droits qui réglementent la gestion des risques. Une autre approche serait non seulement aberrante, mais également anticonstitutionnelle, si l’on pense aux conditions générales d’intervention, en tout cas selon la Constitution fédérale suisse, et à l’orientation de la protection de l’article 13, paragraphe 2, de la Constitution.
La question de savoir ce que cela signifie pour les transferts à l’étranger est toutefois controversée. Mais souvent, on ne fait pas la distinction entre la question de savoir quels sont les droits qui posent problème au sens précité, quand ces droits peuvent être appliqués et comment évaluer et traiter les risques s’ils sont appliqués. On ne peut toutefois pas remplacer l’examen du droit local en rejetant a priori une approche basée sur les risques.