Le 27 avril dernier, la Comissão Nacional de Proteção de Dados (CNPD) a ordonné au National Institue of Statistics (INE) de suspendre tout transfert de données vers les États-Unis ou autre pays tiers ne garantissant pas des mesures de sécurité équivalentes dans les 12 heures.
Une décision en trois temps
En 2021, l’INE a réalisé le recensement de la population portugaise en ligne. Après la collecte des données (dont des données sensibles sur l’état de santé et la religion) de plus de 6,5 millions de personnes, une plainte a été déposée à la CNPD. L’atteinte réside dans le transfert de ces données sur les serveurs de Cloudfare, une société américaine. Pour rendre sa décision, la CNPD s’est appuyée sur trois points.
Le contrat conclu entre l’INE et Cloudfare contenait des clauses contractuelles types, conformément à l’article 46, paragraphe 2, c) du RGPD. La CNPD estime que la seule insertion de ces clauses ne suffit pas à constituer des garanties suffisantes. L’INE ne disposait d’aucun moyen pour savoir où les données transitent réellement. Si les données devaient transiter par le serveur le plus proche du Portugal, sous réserve des demandes qu’il reçoit, elles pouvaient être redirigées vers l’un des 200 autres serveurs de la société. De plus, Cloudfare détient les clés de chiffrement publiques et privées de l’enregistrement.
La CNPD relève que l’analyse d’impact réalisée ne portait pas sur le processus de collecte mais seulement sur les performances et la sécurité du système. La CNPD affirme qu’il existait d’autres moyens qui auraient pu être mis en place, donnant à l’INE plus de contrôle sur la collecte des données.
La décision réfère à l’arrêt Schrems II de la Cour de Justice de l’Union Européenne du 16 juillet 2020. Le contrat tenait Cloudfare de prévenir l’INE des demandes d’accès aux données. Cette clause serait nulle en vertu du Foreign Intelligence Surveillance Act. Le contrat n’était pas assorti de mesures additionnelles assurant des garanties suffisantes pour les données personnelles des citoyens portugais.
Pour ces raisons, la CNPD a conclu à la suspension sous 12 heures des transferts de données. Elle ajoute qu’elle vérifiera, dans le cadre de contrats de sous-traitance, l’adéquation des sous-traitants au RGPD.
Les conséquences de cette décision
Cette décision donne une interprétation nouvelle des conséquences envisagées de l’arrêt Schrems II. Cet arrêt, suivi des recommandations de l’EDPB sur les mesures complémentaires aux outils de transfert, ont jeté un flou sur les transferts de données avec des entreprises américaines. La seule conclusion de clauses contractuelles types ne permet pas d’assurer un transfert conforme au RGPD. Elles ne sont contraignantes et responsabilisantes que pour les parties au contrat et pas pour les autorités étatiques.
La CNPD rappelle que les clauses contractuelles types doivent être complétées par d’autres mesures pour assurer effectivement le niveau de protection requis par le RGPD. Si rien de tel ne peut être mis en place, ou si aucune autre solution n’est possible, le transfert devra alors être suspendu. Cette décision portugaise impose à l’ensemble des sociétés européennes de repenser leur stratégie de transfert de données et de réaliser des analyses systématiques assorties de mesures appropriées.