L'accumulation de projets de règlements européens sème la confusion du côté des correspondants à la protection des données. Ils craignent également que ce contexte réglementaire changeant ne déstabilise leur stratégie de mise en conformité avec le RGPD. L'invalidation du Privacy Shield et le recours croissant aux outils collaboratifs en ligne sont la cerise sur le gâteau.
Seuls 7 % des délégués à la protection des données (DPO) estiment y voir clair dans les projets de règlements en cours de discussion entre les colégislateurs européens que sont la Commission, le Parlement et le Conseil.
Pour rappel, ces projets de règlements portent sur les services numériques (DSA), les marchés numériques (DMA), la gouvernance des données (DGA), l’approche européenne de l'intelligence artificielle (AIR), et sur les échanges de données (DA).
46 % se déclarent « plutôt dans l'attente d'une meilleure visibilité », 46 autres éprouvent « le sentiment que c'est très confus, et qu'il y a des risques de téléscopage avec le RGPD », et 10 % ne savent pas.
Ces résultats émanent du troisième baromètre trimestriel de l'association française des correspondants à la protection des données à caractères personnelles (AFCDP). 316 de ses 6 000 membres y ont répondu (contre 235 pour le second baromètre, en juillet 2021, et 245 pour le premier, en avril 2021).
« L’AFCDP s’inquiète de la possible multiplication des réglementations concernant les données personnelles, qui en rendraient le pilotage complexe au sein des organisations, de même que la multiplication des autorités de contrôles qui pourraient s’ajouter à la CNIL, au nombre de leurs interlocuteurs. Les membres de l’association se soucient également des incohérences entre les nouveaux textes (DSA, DMA, DGA, DA, AIR) et le RGPD, qui risquent de compliquer encore la mise en œuvre d’un cadre juridique déjà complexe », commente Paul-Olivier Gibert, Président de l’AFCDP.
La moitié sont encore loin d'être conformes au RGPD
Ils sont par ailleurs 47 % à estimer qu' « il y a encore beaucoup de chemin à faire » avant de considérer leurs organisations comme conformes au RGPD et autres mesures de protection des données privées (contre 46 % en Q3 et 52 % en Q2).
16 % déplorent que « le contexte réglementaire changeant (Privacy Shield, cookie walls, etc.) crée de l'instabilité » dans la stratégie de protection des données de leurs organisations (versus 14 % en Q3 et 13 % en Q4).
Seuls 33 % expriment un sentiment positif et disent se sentir écoutés et utiles, à mesure que leurs préconisations « sont reconnues » (contre 30 % en Q2, et 29 % en Q1).
La moitié sont perturbés par l'invalidation du Privacy Shield
Interviewée dans nos colonnes en septembre 2020, Me Martine Ricouart-Maillet, vice-présidente de l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP), déplorait déjà le fait d'être confronté à « un flou et une insécurité juridique totale » suite à l'arrêt Schrems II de la Cour de justice de l'Union européenne :
« Dans le cadre de l’AFCDP, on demande une position de la CNIL qui aille au-delà des principes d’interprétation de l’arrêt et qui vienne dire de façon très concrète voilà comment faire pour être dans les clous. »
Or, en juillet 2021, à l'occasion de la parution de leur second baromètre, la majorité des répondants (52 %) déclaraient ne pas être encore à l’aise avec l’impact de l'invalidation du Privacy Shield, intervenue près d'un an auparavant. Et seuls 14 % avait déjà réalisé le nécessaire.
30 % n'avaient pas encore fait le choix de rapatrier les traitements de données critiques en Europe, du fait « des enjeux de coûts et d'infrastructures métiers trop importantes ». 22 % ne l'avaient « pas encore » fait, dans l'attente d'une « meilleure visibilité sur le contexte réglementaire.
La Commission européenne venait de mettre à jour ses modèles de clauses contractuelles types (CCT) utilisées pour transférer des données vers un pays tiers (qu’il s’agisse des États-Unis ou d’un autre pays tiers).
Suite à l'arrêt Schrems II, la CNIL rappelait alors que la CJUE avait souligné qu' « il incombe à l'exportateur et à l'importateur de données d'évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les CCT :
« Si ce niveau ne peut pas être respecté, les entreprises doivent prévoir des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu dans l’Espace économique européen, et elles doivent s’assurer que la législation du pays tiers n'empiétera pas sur ces mesures supplémentaires de manière à les priver d'effectivité. »
Des DPO chargés de vérifier la législation américaine
Or, notait l'AFCDP, le projet de nouvelles CCT avait aussi fait l’objet de réserves de la part du CEPD/EDPB (le comité des CNIL européennes) et du CEPD/EDPS (le DPO des instances européennes), et dans une résolution adoptée le 20 mai 2021 à une très large majorité, le Parlement européen attirait l’attention de la Commission européenne sur ces réserves et formulait des recommandations importantes.
Comme la CNIL le résumait dans sa FAQ sur les nouvelles CCT, celles-ci prennent en compte la législation du pays tiers de destination des transferts de données :
« Les nouvelles clauses contractuelles types intègrent aussi la jurisprudence de la CJUE dans l’affaire dite "Schrems II" et imposent à l’exportateur de données de tenir compte de la législation applicable à l’importateur des données pour déterminer si les clauses contractuelles types pourront produire tous leurs effets.
Dans tous les cas de transferts (vers les États-Unis ou vers tout pays tiers), si vous arrivez à la conclusion que le respect des garanties appropriées ne sera pas assuré compte tenu des circonstances du transfert et malgré d'éventuelles mesures supplémentaires, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles. »
« On ne peut pas être plus clair : c’est bien à l’exportateur, par exemple la PME ou l’association qui utilise les services d’un prestataire américain, de vérifier si la législation américaine n’est pas contraire aux obligations du RGPD et ne fait pas courir de risques aux données transférées », concluait l'AFCDP.
La Covid a aggravé les problèmes posés par le Privacy Shield
Depuis, la Covid n'a guère aidé, loin de là, et le brouillard n'est pas prêt de se dissiper.
La crise sanitaire ayant généré, souligne l'AFCDP dans son troisième baromètre, « une adoption massive des outils collaboratifs dans le cadre du déploiement à grande échelle du télétravail », la problématique de la conformité de ces solutions, « dont les plus performantes et plus usitées sont majoritairement américaines, pose un réel problème au quotidien pour les DPO », à mesure que « seulement 6 % des répondants ont adopté à ce jour des outils français ou européens ».
Interrogés quant aux éventuels défis techniques et/ou juridiques en termes d'outils collaboratifs, ils ne sont en effet que 6 % à répondre n'avoir « aucun » problème.
31 % se disent « peu concernés », notamment parce que leur secteur d'activité n'entraîne pas l'adoption d'outils collaboratifs, 12 % ne savent pas, mais 58 % évoquent, a contrario, de nombreux problèmes « depuis la chute du Privacy Shield ».
« Nous constatons au quotidien, via les échanges entre pairs au sein de l’association et de notre Agora (réseau social interne), que les DPO sont aux prises avec de nombreux défis et interrogations autour de l’usage des outils collaboratifs dans leurs organisations. Or, pour le moment, il semble que ni la législation ni les instances ne soient en mesure de les résoudre. » souligne Paul-Olivier Gibert, président de l’AFCDP.
Gageons que les récentes lourdes amendes à l'encontre des cookies Google et Facebook infligées par la CNIL, puis de l'IAB Europe pour son cadre RGPD de consentement publicitaire qui ne respectait pas le RGPD, ou encore la récente mise en demeure visant les transferts internationaux de Google Analytics, risquent de plonger les DPO dans un brouillard encore un peu plus épais.
Télécharger le baromètre.
Commentaires (12)
#1
“Flou” ou “Brouillard” ne sont pas les termes que j’emploie lorsque je ferme les yeux.
#2
Je fais entre 1 et 2 demandes d’opposition/suppression, et effectivement les retours montrent que personne n’y comprend que dalle.
Mentions spéciales à Sosh pour qui le marketing est un intérêt légitime pour se passer du consentement, et EDF qui te demande toute ta vie privée pour vérifier l’identité du demandeur (là où seule la carte d’identité est requise).
#3
D’ailleurs pour ne rien arranger, la CNIL fait reposer la responsabilité sur les entreprises françaises sur l’usage de google analytics.
Si le service n’est pas conforme RGPD, pourquoi la CNIL ne met pas en demeure Google. C’est eux qui fournissent un service en France qui n’est pas conforme au droit européen. La CNIL ne va pas mettre en demeure tous les sites français ?
==>
« On ne peut pas être plus clair : c’est bien à l’exportateur, par exemple la PME ou l’association qui utilise les services d’un prestataire américain, de vérifier si la législation américaine n’est pas contraire aux obligations du RGPD et ne fait pas courir de risques aux données transférées »
C’est délirant.
Je serai DPO je dirai à mon entreprise de n’utiliser que des services européens. La période est trop installable pour le moment.
#4
Sachant que certaines abréviations sont en français, d’autres en anglais. Pourquoi faire simple
#5
Même pas : la CNI elle-même est protégée par le RGPD, seules certaines infos de celle-ci suffisent
#6
Je dirais que c’est parce que Google n’est pas le responsable du traitement des données personnelles, mais l’entreprise usant du service Google Analytics dans le cas présent. C’est celle-ci qui reste responsable des agissements de son prestataire.
#7
Euh il n’y a que moi que ça choque d’avoir un Camembert qui dépasse les 100%???
La gestion des données privées est très complexe et les équipes business et IT sont dans un flou total pas seulement les dpo.
De plus si le cadre bouge en cours de route il devient impossible pour de grands groupes de se mettre en conformité. Les impacts ne se règlent pas en 5 minutes dans un grand SI
#7.1
Contactée il y a 2 jours à ce sujet, l’AFCDP n’a pas encore encore répondu pourquoi les 1er et dernier camemberts dépassent donc les 100 %…
#8
C’est pas aussi simple, la plupart des services français ou européens ont des prestataires d’hébergement et/ou logiciels (traitant des données client) qui sont Américain.
Utiliser un service Français hébergé chez Amazon/Heroku, qui utilise Gmail ou office pour ses emails ou Salesforce ou Zoho pour son CRM ne solutionne pas le problème.
#9
Effectivement le dernier camembert est sur 107%…
#10
Élémen-taire, y’akafonkon toujours chercher le PGCD !
#11
Une chose est claire : dans un mémoire au sujet du Health Data Hub, la CNIL a déjà affirmé que la législation des USA (section 702 FISA et décret EO12333) portait atteinte aux droits fondamentaux de la Charte, comprendre : était contraire au RGPD. Il n’y a donc aucun outil juridique possible (ni même art 49 à en croire les lignes directrice CEPD) pour le responsable de traitement, à part les mesures complémentaires pour conforter les CCT : c’est le chiffrement et la pseudonymisation. Problème : la mise en place du chiffrement dans un contexte métier, sans filer la clé privée au provider cloud pour un service qui tourne (pas juste de l’archivage), c’est très compliqué…