L'accumulation de projets de règlements européens sème la confusion du côté des correspondants à la protection des données. Ils craignent également que ce contexte réglementaire changeant ne déstabilise leur stratégie de mise en conformité avec le RGPD. L'invalidation du Privacy Shield et le recours croissant aux outils collaboratifs en ligne sont la cerise sur le gâteau.
Seuls 7 % des délégués à la protection des données (DPO) estiment y voir clair dans les projets de règlements en cours de discussion entre les colégislateurs européens que sont la Commission, le Parlement et le Conseil.
Pour rappel, ces projets de règlements portent sur les services numériques (DSA), les marchés numériques (DMA), la gouvernance des données (DGA), l’approche européenne de l'intelligence artificielle (AIR), et sur les échanges de données (DA).
46 % se déclarent « plutôt dans l'attente d'une meilleure visibilité », 46 autres éprouvent « le sentiment que c'est très confus, et qu'il y a des risques de téléscopage avec le RGPD », et 10 % ne savent pas.
Ces résultats émanent du troisième baromètre trimestriel de l'association française des correspondants à la protection des données à caractères personnelles (AFCDP). 316 de ses 6 000 membres y ont répondu (contre 235 pour le second baromètre, en juillet 2021, et 245 pour le premier, en avril 2021).
« L’AFCDP s’inquiète de la possible multiplication des réglementations concernant les données personnelles, qui en rendraient le pilotage complexe au sein des organisations, de même que la multiplication des autorités de contrôles qui pourraient s’ajouter à la CNIL, au nombre de leurs interlocuteurs. Les membres de l’association se soucient également des incohérences entre les nouveaux textes (DSA, DMA, DGA, DA, AIR) et le RGPD, qui risquent de compliquer encore la mise en œuvre d’un cadre juridique déjà complexe », commente Paul-Olivier Gibert, Président de l’AFCDP.
La moitié sont encore loin d'être conformes au RGPD
Ils sont par ailleurs 47 % à estimer qu' « il y a encore beaucoup de chemin à faire » avant de considérer leurs organisations comme conformes au RGPD et autres mesures de protection des données privées (contre 46 % en Q3 et 52 % en Q2).
16 % déplorent que « le contexte réglementaire changeant (Privacy Shield, cookie walls, etc.) crée de l'instabilité » dans la stratégie de protection des données de leurs organisations (versus 14 % en Q3 et 13 % en Q4).
Seuls 33 % expriment un sentiment positif et disent se sentir écoutés et utiles, à mesure que leurs préconisations « sont reconnues » (contre 30 % en Q2, et 29 % en Q1).
La moitié sont perturbés par l'invalidation du Privacy Shield
Interviewée dans nos colonnes en septembre 2020, Me Martine Ricouart-Maillet, vice-présidente de l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP), déplorait déjà le fait d'être confronté à « un flou et une insécurité juridique totale » suite à l'arrêt Schrems II de la Cour de justice de l'Union européenne :
« Dans le cadre de l’AFCDP, on demande une position de la CNIL qui aille au-delà des principes d’interprétation de l’arrêt et qui vienne dire de façon très concrète voilà comment faire pour être dans les clous. »
Or, en juillet 2021, à l'occasion de la parution de leur second baromètre, la majorité des répondants (52 %) déclaraient ne pas être encore à l’aise avec l’impact de l'invalidation du Privacy Shield, intervenue près d'un an auparavant. Et seuls 14 % avait déjà réalisé le nécessaire.
30 % n'avaient pas encore fait le choix de rapatrier les traitements de données critiques en Europe, du fait « des enjeux de coûts et d'infrastructures métiers trop importantes ». 22 % ne l'avaient « pas encore » fait, dans l'attente d'une « meilleure visibilité sur le contexte réglementaire.
La Commission européenne venait de mettre à jour ses modèles de clauses contractuelles types (CCT) utilisées pour transférer des données vers un pays tiers (qu’il s’agisse des États-Unis ou d’un autre pays tiers).
Suite à l'arrêt Schrems II, la CNIL rappelait alors que la CJUE avait souligné qu' « il incombe à l'exportateur et à l'importateur de données d'évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les CCT :
« Si ce niveau ne peut pas être respecté, les entreprises doivent prévoir des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu dans l’Espace économique européen, et elles doivent s’assurer que la législation du pays tiers n'empiétera pas sur ces mesures supplémentaires de manière à les priver d'effectivité. »
Des DPO chargés de vérifier la législation américaine
Or, notait l'AFCDP, le projet de nouvelles CCT avait aussi fait l’objet de réserves de la part du CEPD/EDPB (le comité des CNIL européennes) et du CEPD/EDPS (le DPO des instances européennes), et dans une résolution adoptée le 20 mai 2021 à une très large majorité, le Parlement européen attirait l’attention de la Commission européenne sur ces réserves et formulait des recommandations importantes.
Comme la CNIL le résumait dans sa FAQ sur les nouvelles CCT, celles-ci prennent en compte la législation du pays tiers de destination des transferts de données :
« Les nouvelles clauses contractuelles types intègrent aussi la jurisprudence de la CJUE dans l’affaire dite "Schrems II" et imposent à l’exportateur de données de tenir compte de la législation applicable à l’importateur des données pour déterminer si les clauses contractuelles types pourront produire tous leurs effets.
Dans tous les cas de transferts (vers les États-Unis ou vers tout pays tiers), si vous arrivez à la conclusion que le respect des garanties appropriées ne sera pas assuré compte tenu des circonstances du transfert et malgré d'éventuelles mesures supplémentaires, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles. »
« On ne peut pas être plus clair : c’est bien à l’exportateur, par exemple la PME ou l’association qui utilise les services d’un prestataire américain, de vérifier si la législation américaine n’est pas contraire aux obligations du RGPD et ne fait pas courir de risques aux données transférées », concluait l'AFCDP.
La Covid a aggravé les problèmes posés par le Privacy Shield
Depuis, la Covid n'a guère aidé, loin de là, et le brouillard n'est pas prêt de se dissiper.
La crise sanitaire ayant généré, souligne l'AFCDP dans son troisième baromètre, « une adoption massive des outils collaboratifs dans le cadre du déploiement à grande échelle du télétravail », la problématique de la conformité de ces solutions, « dont les plus performantes et plus usitées sont majoritairement américaines, pose un réel problème au quotidien pour les DPO », à mesure que « seulement 6 % des répondants ont adopté à ce jour des outils français ou européens ».
Interrogés quant aux éventuels défis techniques et/ou juridiques en termes d'outils collaboratifs, ils ne sont en effet que 6 % à répondre n'avoir « aucun » problème.
31 % se disent « peu concernés », notamment parce que leur secteur d'activité n'entraîne pas l'adoption d'outils collaboratifs, 12 % ne savent pas, mais 58 % évoquent, a contrario, de nombreux problèmes « depuis la chute du Privacy Shield ».
« Nous constatons au quotidien, via les échanges entre pairs au sein de l’association et de notre Agora (réseau social interne), que les DPO sont aux prises avec de nombreux défis et interrogations autour de l’usage des outils collaboratifs dans leurs organisations. Or, pour le moment, il semble que ni la législation ni les instances ne soient en mesure de les résoudre. » souligne Paul-Olivier Gibert, président de l’AFCDP.
Gageons que les récentes lourdes amendes à l'encontre des cookies Google et Facebook infligées par la CNIL, puis de l'IAB Europe pour son cadre RGPD de consentement publicitaire qui ne respectait pas le RGPD, ou encore la récente mise en demeure visant les transferts internationaux de Google Analytics, risquent de plonger les DPO dans un brouillard encore un peu plus épais.
Télécharger le baromètre.
