La dématérialisation continue des échanges de nos sociétés n’épargne pas la sphère publique : les collectivités territoriales se modernisent et numérisent progressivement leurs services (les « téléservices »), poursuivant ainsi leur transition numérique.

Cette dernière induit toutefois une nouvelle sphère de risques qui est propre au numérique : les cyberattaques.

En réponse à ces risques, la cybersécurité s’est développée. Celle-ci est d’autant plus cruciale pour les collectivités, que sont en jeu les données des administrés et que celles-ci revêtent souvent un caractère hautement privé voir sensible (niveau social, santé, éducation, famille).

La sécurité des systèmes informatiques des collectivités territoriales est donc un enjeu actuel majeur.   

Qu’est-ce que la cybersécurité ?

L’Autorité nationale de la sécurité des systèmes d’information (« ANSSI ») définit la cybersécurité comme « état recherché pour un système d’information lui permettant de résister à des événements, issus du cyberespace, susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles »

Quelles sont les obligations légales et réglementaires en termes de cybersécurité ?

Lorsque les données traitées sont des données à caractère personnel (c’est-à-dire des informations se rapportant à une personne physique identifiée ou identifiable), la loi n° 78-17 du 6 janvier 1978 dite « Informatique et libertés » mettait à la charge du responsable du traitement l’obligation « de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (ancien article 34 de la loi).

Le règlement européen sur la protection des données (« RGPD ») entré en application le 25 mai 2018 a repris cette obligation de sécurité et impose au responsable de traitement de mettre en œuvre “les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque” que sont, par exemple, la pseudonymisation ou le chiffrement (articles 32 et suivants du règlement).

Plus spécifiquement, dans le cadre de leurs relations avec les administrés, les autorités administratives sont soumises, en vertu de l’article 9 de l’ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives, à un référentiel de sécurité nommé Référentiel Général de Sécurité (« RGS »).

Le RGS définit un ensemble de règles de sécurité qui s’imposent aux autorités administratives dans la sécurisation de leurs systèmes d’information. Les fonctions des systèmes d’information doivent respecter les règles fixées par ce référentiel afin d’assurer la sécurité des données transitant par les téléservices.

Ce référentiel a d’ailleurs été complété au niveau européen par le règlement n°91/2014 dit « eIDAS » qui s’applique aux collectivités territoriales lorsqu’elles mettent en œuvre un système d’identification électronique, de signature électronique ou un cachet électronique dans le cadre de téléservices à destination du public.

Les collectivités sont donc soumises à un certain nombre d’obligations visant à garantir la sécurité des données qu’elles traitent. Pourtant, la prise de conscience au niveau local des potentiels impacts des cyberattaques et la mise en place d’actions concrètes pour s’en prémunir ne semblent pas encore totalement acquises.

Quelle démarche les collectivités territoriales doivent-elles alors adopter ?

Au mois de novembre 2020, l’ANSSI et l’Association des Maires de France (« AMF »), ont publié un guide « Cybersécurité : toutes les communes et intercommunalités sont concernées » ayant pour objectif d’insuffler au sein des collectivités des méthodes et mesures de cybersécurité dans la gestion de leurs activités. 

En effet, les risques d’attaques augmentant et les usages numériques se développant (notamment le télétravail en période de la COVID), l’ANSSI et l’AMF plaident pour un investissement accru des communes et intercommunalités dans le développement de la protection de leur système d’information et pour une protection contre tout « sinistre numérique ».

Le guide insiste d’ailleurs particulièrement sur le rôle déterminant des élus dans la prise en compte des enjeux de cybersécurité ainsi que sur la nécessité de mettre à disposition des moyens suffisants et, au besoin, de mettre en commun ces moyens entres collectivités au travers par exemple de l’intercommunalité. En ce sens, il est rappelé que la responsabilité incombe au collecteur ainsi qu’aux dirigeants de leurs collectivités (maires et présidents d’intercommunalités).

Afin d’accompagner ces derniers, les axes d’action prioritaires suivants ont été identifiés :

-          La sensibilisation des agents, le comportement humain étant un facteur amplificateur ou réducteur des risques de cyberattaques ;

-          L’identification des systèmes d’information, des matériels et des logiciels employés et l’adaptation de ces outils aux besoins de la collectivité ;

-          L’analyse des clauses contractuelles conclus avec les prestataires informatiques et les responsabilités respectives des cocontractants ;

-          La définition d’un plan de crise (plan de continuité d’activité (« PCA ») et plan de reprise d’activité (« PRA »)).

Une trentaine de recommandations sont ensuite énoncées, selon quatre grands thèmes :

(1)    La gouvernance : il est préconisé notamment de prévoir un dispositif financier d’accompagnement pour une gouvernance partagée entre les communes et les intercommunalités, ou encore de promouvoir la mutualisation afin que les plus petites communes puissent bénéficier de l’expertise et des moyens financiers des entités plus importantes.

(2)    Les moyens : la logique financière actuelle doit être inversée en ce sens qu’il convient d’évaluer les besoins en cybersécurité avant d’allouer un certain budget et non de déterminer les besoins en fonction des moyens financiers ; les agents des collectivités qui traitent de données sensibles doivent être accompagnés et formés en priorité…

(3)    La résilience : elle implique d’élaborer des scénarios de cyberattaques et de les intégrer dans les PCA et PRA ; de communiquer ces documents aux fournisseurs afin qu’ils l’appliquent en cas de réalisation du risque ; ou encore de désigner des référents locaux en matière de sécurité informatique.

(4)    La relation des collectivités avec les tiers : il est préconisé de formaliser un « plan d’assurance sécurité » avec les prestataires, d’inclure systématiquement des clauses relatives à la sécurité numérique et des clauses de réversibilité.

Il est par ailleurs souligné que la connaissance du RGPD et le travail de sensibilisation du délégué à la protection des données (« DPO ») sont de solides bases pour mettre en œuvre les bonnes pratiques de la sécurité numérique.

Pour plus d’exhaustivité, nous vous invitons à consulter :

-          directement le guide ANSSI-AMF « Cybersécurité : toutes les communes et intercommunalités sont concernées »  ;

-          la décision du Conseil d’Etat en date de novembre dernier.

En Résumé

Ce jeudi 3 Septembre, le Gouvernement a présenté son plan de relance multisectoriel pour pallier les conséquences du Covid-19 qui a mis à mal une partie de l’économie française.

Répondant à l’objectif de retrouver d’ici 2022, l’activité d’avant crise, le plan de relance post-Covid comprend une enveloppe de 100 milliards d’euros dont un budget de 7,1 milliards alloué au secteur du numérique.

Comment est répartie cette somme ?

Le montant investit dans le secteur numérique s’articule autour de trois (3) thèmes essentiels permettant tant le maintien des activités existantes que le développement des nouvelles technologies :

·       La mise en avant de la souveraineté technologique ;

·       L’accélération de la transition numérique du secteur public et privé ;

·       La lutte contre la fracture numérique.

• 3,7 milliards d’euros pour une Souveraineté Technologique

La plus grande partie du budget, financé par le Programme d’Investissements d’Avenir, est alloué au soutien des startups et des entreprises de technologies numériques stratégiques. En effet, l’objectif est de renforcer la souveraineté technologique française notamment par le « développement d’un écosystème French Tech », permettant l’émergence d’une souveraineté numérique européenne afin de concurrencer les géants américains et chinois.

De ce fait, l’État consacre une grande partie de cette somme (2,4 milliards d’euros), dans les technologies de rupture, telles que les technologies quantiques, d’e-santé, de cybersécurité, de cloud, d’intelligence artificielle ou encore dans les industries culturelles et créatives.

De plus, le Gouvernement alloue la somme de 500 millions d’euros aux start-ups, afin de soutenir les levées de fonds les plus importantes mais également afin de faire émerger les futures licornes françaises sur la scène internationale afin d’attirer des investisseurs étrangers. C’est donc dans ce but précis que la Banque Publique d'Investissement (BPI) va investir près de 400 millions d'euros en 2021.

• 2,3 milliards d’euros pour la Transition numérique des secteurs publics et privés

Afin de renforcer la compétitivité de la France, une transformation tant du paysage numérique public que privé s’est imposé.

Ainsi 1,7 milliards d’euros est accordé pour la transformation numérique de l’État et de ses territoires. De la dématérialisation des secteurs publics au renforcement de l’accessibilité de ces derniers pour les personnes en situation d’handicap, en passant par une numérisation du domaine pédagogique, le but est de moderniser la structure numérique de l’État.

Côté privé, 385 millions d’euros sont investis afin de soutenir pendant la période de 2020 à 2022, la transformation numérique des TPE, PME et ETI.

L’objectif étant de combler les retards des entreprises françaises et d’attirer des investisseurs étrangers, la stratégie à adopter se fonde atour de trois (3) points :

-          La sensibilisation et l’accompagnement collectifs du secteur privé

-          La réalisation d’audit et d’accompagnement personnalisé

-          Le soutien des entreprises souhaitant réaliser un investissement dans les technologies de l’industrie du futur.

Enfin près de 200 millions d'euros sont spécifiquement consacrés à la transformation numérique des filières de l’automobile et de l’aéronautique.

•  1,1 milliards d’euros pour lutter contre la fracture numérique

Alors qu’aujourd’hui 1 emploi sur 5 créé est en lien avec les nouvelles technologies, de nombreuses entreprises se plaignent d’un manque de main d’œuvre qualifiée. C’est pourquoi le Gouvernement alloue un budget de 300 millions d’euros afin de former au mieux les salariés aux métiers du numérique et de faire des start-ups françaises des championnes du secteur du numérique.

Si le numérique a été d’une grande aide lors de la crise sanitaire, notamment via le télétravail, les appels vidéo, le commerce en ligne, etc... Le confinement a aussi amplifié la fracture numérique et les inégalités sociales. C’est pourquoi une enveloppe de 800 millions d’euros est accordée par l’État afin de déployer plus largement la fibre optique et de lutter contre l’illectronisme numérique. Il sera question de mettre en place des ateliers d’initiation au numérique par des médiateurs formés dans des lieux de proximité ou de développer des outils simples et sécurisés afin que des travailleurs sociaux ou des agents publics puissent aider les plus démunis à user de l’internet.

Des opinions qui divergent

Cette enveloppe de 7,1 milliards d’euros prévue par le Gouvernement a fait couler beaucoup d’encre et nombreux ne sont pas d’accord sur la somme consacrée.

En effet, pour Marianne Tordeux de France digitale, la somme allouée est insuffisante : « c’est une enveloppe un peu mince si on la compare à la valorisation que peut représenter une licorne française. Ce n’est pas avec 500 millions d’euros qu’on va éviter le rachat d’une pépite française ». Le même constat est fait par le Président et co-fondateur de BlaBlaCar, Frédéric Mazzella « on s'attendait à ce qu'il y ait un peu plus d'effort sur le numérique ».

A l’inverse, le secrétaire d’État en charge de la Transition numérique et des Communications électroniques, Cédric O s’est réjoui suite à l’annonce de ce plan, soulignant qu’ « après l'environnement, le numérique est sans doute l'un des piliers les plus importants du plan de relance ». Il rajoute que cette somme permettra de préparer les dix (10) ans à venir, notamment vers une transition numérique accélérée et une économie française numérique.

Le Sénat constate quant à lui, que les mesures présentées par le Premier Ministre Jean Castex sont conformes à celles proposées en juillet dernier, dans le plan de relance de la Commission des affaires économiques. Cependant le Sénat souligne la nécessité de mettre en place des politiques claires pour encadrer l’enveloppe consacrée au secteur du numérique, « injecter des milliards ne suffira pas, il faut également des réformes de structure, une rupture avec le centralisme administratif et politique français, un approfondissement de la décentralisation et une véritable simplification administrative ».

Alors qu’InfraNum salue les mesures prises par le Gouvernement et notamment la « généralisation de la fibre, l’emploi et la transformation numérique des entreprises ».  Elle met aussi en garde contre les conséquences financières de l’installation de la fibre comme « service essentiel ».

On constate donc que l’enjeu du numérique semble avoir été reconnu.  Afin d’atteindre les objectifs fixés, qui sont le soutien de la croissance des start-ups, la réduction de la fracture numérique et l’accélération de la transition numérique des entreprises et de l’État, la prochaine étape est d’attribuer correctement les sommes allouées par ce Plan de Relance.

•  Rappel du contexte :

Ce jeudi 16 juillet 2020, la Cour de Justice de l’Union européenne (CJUE) a rendu une décision qui a eu l’effet d’une bombe (CJUE, Aff. C-311/18, Data Protection Commissioner contre Facebook Irlande Ltd et Schrems). Bien qu’assez prévisible, la Cour invalide la décision d’exécution (UE) 2016/1250 du 12 juillet 2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis, dit « accord Privacy Shield ». Adopté en 2016, à la suite de l’invalidation de l’accord du Safe Harbor par la CJUE, le Privacy Shield avait pour mission d’encadrer le transfert des données personnelles entre l’Europe et les États-Unis. Cependant dès ses débuts, ce « bouclier » fait l’objet d’attaques de la part du Parlement européen, de la CNIL et de diverses associations (La quadrature du Net, NYOB). Ces entités reprochaient l’accès des services de sécurité américaine (FBI, NSA …)  aux données européennes transférées, à la suite des révélations d’Edward Snowden de 2013. D’ailleurs, le G29 avait jugé trop faible les dispositions du texte encadrant les données personnelles transmises Outre Atlantique ainsi que trop complexes les modalités de recours à un médiateur américain.

• Les Faits :

[1]Cette affaire débute par l’arrêt Schrems I, dans lequel Maximilian Schrems, activiste autrichien et fervent défenseur de la protection de la vie privée, décide de porter plainte auprès de l’Autorité irlandaise de contrôle[2] pour contester les transferts[3] des données personnelles européennes opérés par Facebook vers les États-Unis. En tant qu’utilisateur Facebook, ses données à caractère personnel[4] étaient transférées par Facebook Irlande vers les centres de données de Facebook Inc établis aux États-Unis afin d’y être traitées. Cependant, ce dernier reprochait une protection trop faible de la part de la législation américaine, notamment du fait de l’ingérence des services de sécurité américaine dans les données européennes transmises.

Dans un premier temps, cette demande fut rejetée au motif que dans sa décision 2000/520 du 26 juillet 2000, la Commission européenne avait jugé que les États-Unis assuraient un niveau de protection adéquat[5].

Peu de temps après, à la suite d’une question préjudicielle posée par la Haute Cour d’Irlande, la CJUE affirma l’inverse et annula l’accord Safe Harbor[6]. De là, M. Schrems fut invité par l’Autorité de contrôle irlandaise à reformuler sa plainte[7], dans laquelle, il demanda d’interdire pour l’avenir la transmission des données personnelles européennes vers les États-Unis, surtout que Facebook Irlande effectuait désormais ce transfert sur le fondement des clauses types de protection de l’annexe de la décision 2010/87[8] .

Alors que l’Autorité de contrôle irlandaise initia une procédure devant la Haute Cour d’Irlande, afin que cette dernière pose une question préjudicielle à la CJUE. Au même moment, on apprenait l’adoption de l’accord Privacy Shield par une décision de la Commission européenne, en date du 12 juillet 2016 (UE 2016/1250).

• Problème :

La Haute Cour d’Irlande a alors fait un recours préjudiciel devant la CJUE afin que celle-ci se prononce sur : l’applicabilité du RGPD en matière de transfert de données fondé sur des clauses contractuelles types (1), le niveau de protection requis par le RGPD dans le cadre d’un tel transfert (2), ainsi que sur la validité de ces clauses et de l’accord Privacy Shield (3).

• Apports :

C’est par une décision très attendue, que la CJUE rend un arrêt le 16 juillet 2020, dans lequel elle invalide le bouclier de protection des données UE/États-Unis mais juge la décision relative aux clauses contractuelles types conformes à la Charte des droits fondamentaux de l’Union.

Pour rappel, le RGPD met en place des mécanismes qui encadrent le transfert des données personnelles vers des pays tiers. L’accord du Privacy Shield est un des principaux mécanismes permettant une adéquation. Cependant en l’absence de cet accord, il revient au responsable de traitement de s’assurer de cette adéquation en vertu de l’article 46 du RGPD

La CJUE répond aux deux (2) premières questions préjudicielles ; et :

-          Confirme que le droit de l’Union et a fortiori le RGPD s’applique aux transferts de données personnelles européennes vers les États-Unis, dans un but commercial et même si les données sont au cours du transfert susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté de l’État par les autorités américaines.[9]

-          Affirme que dans le cadre du transfert des données personnelles fondé sur des clauses types de protection, le niveau de protection requis par le RGPD en matière de droit des personnes concernées (droits opposables et voies de droit effectives) doit être substantiellement équivalent au droit de l’Union[10]. Dans son considérant 108, le RGPD rappelle que des garanties doivent  « assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union, y compris l’existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d’engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l’Union ou dans un pays tiers. ».

La Cour rajoute que les autorités de contrôle doivent obligatoirement suspendre ou interdire un tel transfert vers un pays tiers lorsque les clauses types de protection des données ne sont pas respectées conformément au droit de l’Union dans l’État en question[11].

o    L’accord Privacy Shield = Une invalidité des transferts de données  

De façon assez prévisible, les juges européens décident d’invalider l’accord Privacy Shield au motif que « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation par les autorités publiques américaines ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire ».

Il est clair que pour la Cour, la législation américaine ne limite pas au strict minimum l’accès de ses autorités aux données personnelles et ne répond donc pas au principe de proportionnalité, encadrant la protection des données. L’exigence d’équivalence prévue à l’article 45 du RGPD n’est donc pas respectée. En effet, il n’existe aucune limitation à la permission de certains programmes de surveillance à user des données transmises, ni de garanties fortes pour les citoyens non américains, éventuellement visés et encore moins pour ces derniers, de droits concrets à opposer aux autorités américaines devant le juge.

Enfin, la possibilité du recours à un médiateur américain, (comme indiqué dans la décision BPD) n’assurait pas selon la Cour, l’indépendance du médiateur à prendre des décisions contraignantes à l’encontre des services de renseignements américains.[12]

 Cet arrêt a donc un impact important sur toutes entreprises transférant des données vers les États-Unis qui vont devoir revoir leurs contrats. En effet, dans sa FAQ sur l’invalidation du Privacy Shield, la CNIL affirme qu’aucun délai de grâce n’est offert aux entreprises transférant des données aux États-Unis sur le cadre juridique du Privacy Shield car la loi américaine ne fournit pas un niveau de protection équivalent à celui de l’Union européenne.

o   La validation des clauses contractuelles types

La CJUE valide la décision 2010/87 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants situés dans des pays tiers[13]. Il s’agit d’un modèle de contrat type défini par la Commission européenne autorisant les entreprises à exporter les données personnelles de citoyens européens vers le reste du monde[14].

Une condition est néanmoins à respecter : L’usage de clauses contractuelles types est autorisé seulement si le niveau de protection imposé par le droit européen est assuré. La CNIL précise que cette évaluation, doit prendre en compte les circonstances des transferts et les mesures supplémentaires qu’il est possible de mettre en place.

Dans le cas contraire, le transfert de données devra soit être suspendu, soit interdit par le responsable de traitement. Un travail de renforcement des clauses relative à la protection des données personnelle devra être effectué, afin que les entreprises puissent transmettre des données à leur filiales ou maison mères situées sur le sol américain.

Attention, bien qu’en théorie, la CJUE donne la liberté à chaque entreprise de décider si les données personnelles transférées dans le pays destinataire sont conformément protégées ; en pratique sa mise en œuvre semble être beaucoup plus hasardeuse. En effet, alors que la Cour reproche à la législation américaine de ne pas respecter les droits du RGPD, elle ne tranche pas la question concernant le transfert de données sur le sol américain, laissant planer une insécurité juridique. Comme indiqué dans ses conclusions, la protection offerte par la législation américaine est insuffisante et les clauses types ne permettent pas un encadrement du transfert des données suffisantes. Cette question se posera pour tous les États disposant de lois relatives à la sécurité nationale qui permettent des ingérences dans les droits fondamentaux européens (Exemples : Australie, Chine).  

En effet comme le précise la CNIL dans sa FAQ, il sera possible de transférer des données vers des États tiers en se fondant sur les clauses types ou des règles d’entreprises contraignantes à condition qu’importateur et exportateur, vérifient que dans leur mise en œuvre, le niveau de protection demandé par le RGPD soit respecté dans le pays tiers.

Il est également possible de fonder un transfert de données vers un État tiers sur une nouvelle mesure d’adéquation. Il s’agit d’une mesure se fondant sur les lois nationales de l’État tiers pour déterminer qu’il assure un niveau de protection substantiellement équivalent à celui de l’Union en matière de droits et libertés fondamentales.

Néanmoins, ces mesures sont aujourd’hui en nombre restreint. En effet, il n’existe pour le moment de mesures d’adéquation que pour les pays suivants :  Andorre, Argentine, Canada (accord partiel), les îles Féroé, Guernesey, Israël, l’île du Man, Japon, Jersey, Nouvelle-Zélande, Suisse et Uruguay.

Il faudrait donc que la Commission européenne et les États-Unis renégocient un nouvel accord.

Ainsi, même si les clauses contractuelles types sont validées par le règlement[15] de nombreuses questions restent en suspens tel que leur articulation en pratique par le responsable de traitement, le destinataire des données et le sous-traitant qui s’engagent à mettre en place un traitement en conformité avec le règlement. Ainsi que la définition des notions d’exportateur et/ou de destinataire de données, qui relèvera des autorités européennes en accord avec les autorités américaines.

La CNIL a d’ores et déjà commencé à répondre à quelques interrogations à la suite de l’invalidation du Privacy Shield. Ainsi elle rappelle que l’article 28.3 du RGPD régit les relations entre le responsable de traitement et les sous-traitants, et que ce dernier ne peut effectuer des transferts vers un autre État que s’il dispose d’une autorisation contractuelle. L’autorité de contrôle précise aussi les cas de dérogation possible au transfert de données personnelles vers les États-Unis ainsi que les modalités entourant l’utilisation des clauses de contrat type ou des BCR.

Et demain : Une souveraineté nationale ?

Cette décision a provoqué de nombreuses réactions, tant du côté européen que du côté américain. Pour l’Autorité de contrôle irlandaise et pour Max Schrems, la réponse de la CJUE est synonyme de victoire pour le respect de la vie privée. La Commissaire européenne Věra Jourová, a d’ailleurs revendiqué son souhait que le gouvernement américain adopte une loi fédérale équivalente au RGPD pour assurer une protection forte contre l’ingérence des autorités de surveillance.

Cependant outre-Atlantique, le Secrétaire au Commerce, Wilbur Ross a fait part de sa déception quant à la décision de la Cour, et déclare que le Département du Commerce continuera à se fonder sur l’accord Privacy Shield, de même que les parties qui sont liées contractuellement à l’accord. La Computer & Communications Industry Association (organisation réunissant notamment Google, Samsung et Amazon) souligne quant à elle, l’inquiétude et le flou juridique d’une telle décision sur les grands groupes américains.

Même si l’arrêt ne concerne pas les données dites nécessaires telles que le contenu de courriel ou la réservation d’un voyage, la transmission de données est indispensable à la continuité de l’économie numérique. Il est donc urgent que les dirigeants politiques européens et américains trouvent ensemble, un accord conforme aux droits de l’Union. Le commissaire européen à la Justice, Didier Reynders a d’ailleurs déclaré travailler sur des outils afin que la protection des données personnelles soit assurée lors de leur transfert outre-Atlantique.

Par cette décision, le but n’est pas que l’Union européenne s’isole du reste du monde car cela aurait des conséquences négatives sur la compétitivité des entreprises européennes, et cela empêcherait la bonne collaboration internationale sur des sujets sensibles tels que la lutte contre le cybercrime, le terrorisme ou encore la crise sanitaire du Covid-19.

La décision de la CJUE est une sorte de rappel à l’ordre des autorités de contrôle jugées trop indulgentes dans la mise en œuvre du RGPD. La CNIL a d’ailleurs fait savoir qu’elle a pris connaissance de l’arrêt [16] et qu‘elle collabore avec les autres autorités européennes afin de mettre en œuvre des mécanismes permettant un transfert en adéquation avec la décision rendue.  

Cet arrêt encourage donc les entreprises à reconsidérer le traitement des données personnelles sur le sol européen, dans le but de se conformer au RGPD. Mais surtout, afin de s’affranchir de la domination états-unienne et peut-être affirmer une souveraineté numérique européenne.

Base juridique :

·        Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

o    Articles 3 ; 26 ; 28

·        Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit « RGPD »

o    Considérants 6 ; 10 ;101 ; 103 ; 107 à 109 ; 114 ; 116 ; 141

o    Articles 2 ; 4 ; 23 ; 45 ;46 ;49 ; 51 ; 57 ; 58 ; 64 ; 77 ; 78 ; 94

·        Décision CJUE, Aff. C-311/18, Data Protection Commissioner contre Facebook Ireland Ltd et Schrems

o    Décision CPT :

Considérant 11

Articles 1 ; 3 ; 4 ; 5 ; 6 ; 8 ; 9 ; 12

o    Décision BPD :

Considérants 68 ; 69 ; 76 ; 77 ; 109 ; 112 à 116 ; 120 ; 136 ; 140

·        Décision  d’exécution (UE) 2016/1250 du 12 juillet 2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis

·        Décision de la Commission européenne du 26 juillet 2000 conformément à la directive 95/46/CE relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité »

·        Décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE

[1] Point 50 de la décision

[2] Article 51 du RGPD

[3] Article 28 de à la directive 95/46/CE (aujourd’hui considérant 141 et article 77 du RGPD)

[4] Définition à l’article 4 du RGPD

[5] Décision de la Commission européenne du 26 juillet 2000 conformément à la directive 95/46/CE relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » (article 3/25/26)

[6] Arrêt de la CJUE du 6 octobre 2015, « Schrems », C-362/14

[7] Article 78 RGPD

[8] Décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE

[9] Point 89 de la décision

[10] Considérant 114 ; 116 du RGPD et point 105 de la décision

[11] Considérant 107 à 109 du RGPD et point 121 de la décision

[12] Point 196 de la décision

[13] Point 149 de la décision

[14] Article 46 §1 et §2 c) et d) du RGPD

[15] Considérant 81 ; 108 ; 109 ; 168 et article 28 ; 64 du RGPD

[16] Communiqué de la CNIL du 17 juillet 2020