Archives par mot-clé : CJUE

La CNIL appelle à des évolutions dans l’utilisation des outils collaboratifs étatsuniens pour l’enseignement supérieur et la recherche

La CNIL appelle à des évolutions dans l’utilisation des outils collaboratifs étatsuniens pour l’enseignement supérieur et la recherche

À la suite de l’arrêt Schrems II, la CNIL a été saisie par la Conférence des présidents d’université et la Conférence des grandes écoles sur l’utilisation des « suites collaboratives pour l’éducation » proposées par des sociétés américaines, plus particulièrement s’agissant de la question des transferts internationaux de données personnelles. Compte tenu du risque d’accès illégal aux données, la CNIL appelle à des évolutions dans l’emploi de ces outils et accompagnera les organismes concernés pour identifier les alternatives possibles.

La Conférence des grandes écoles (CGE) et la Conférence des présidents d’université (CPU) ont interrogé la CNIL sur la conformité au RGPD de l’utilisation, dans l’enseignement supérieur et la recherche, d’outils collaboratifs proposés par certaines sociétés dont les sièges sont situés aux États-Unis. Cette demande de conseil s’inscrit notamment dans le prolongement de l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne (CJUE).

Transformation numérique dans l’enseignement et de la recherche

Cette démarche s’inscrit dans le cadre de l’accélération de la transformation numérique dans l’enseignement et de la recherche, mais aussi plus largement dans toutes les organisations publiques comme privées, impliquant des services qui s’appuient, pour beaucoup, sur des technologies d’informatique en nuage (cloud computing). La CNIL a constaté que le recours à ces solutions met en lumière des problématiques de plus en plus prégnantes relatives au contrôle des flux de données au niveau international, à l’accès aux données par les autorités de pays tiers, mais aussi à l’autonomie et la souveraineté numérique de l’Union européenne. En outre, le gouvernement a annoncé, le 17 mai 2021, une stratégie nationale pour le cloud, afin d’appréhender les enjeux majeurs de cette technologie pour la France, avec l’objectif de mieux protéger les données traitées dans ces services tout en affirmant notre souveraineté.

LES CONSÉQUENCES DE L’INVALIDATION DU PRIVACY SHIELD

Le 16 juillet 2020, la CJUE a jugé que la surveillance exercée par les services de renseignements américains sur les données personnelles des citoyens européens était excessive, insuffisamment encadrée et sans réelle possibilité de recours. Elle en a déduit que les transferts de données personnelles depuis l’Union européenne vers les États-Unis sont contraires au RGPD et à la Charte des droits fondamentaux de l’Union européenne, sauf si des mesures supplémentaires sont mises en place ou si les transferts sont justifiés au regard de l’article 49 du RGPD (qui prévoit des dérogations dans des situations particulières).

Si la CNIL et ses homologues continuent d’analyser toutes les conséquences de cette décision, les organismes publics et privés, français et européens, doivent d’ores et déjà respecter ces nouvelles règles en privilégiant des solutions respectueuses du RGPD, notamment quand ils ont recours a des solutions d’informatique en nuage (cloud computing).

En particulier, cet arrêt a notamment eu des conséquences, en France, dans la mise en œuvre de la Plateforme des données de santé (Health Data Hub), qui est actuellement hébergée au sein d’une infrastructure étatsunienne (Microsoft Azure). En effet, le Conseil d’État a reconnu un risque de transfert des données de santé vers les États-Unis, du fait de la soumission de Microsoft au droit étatsunien, et a demandé des garanties supplémentaires en conséquence. Partageant cette inquiétude, la CNIL a réclamé et obtenu de nouvelles garanties du ministère en charge de la santé quant à un changement de solution technique dans un délai déterminé. Cette Plateforme sera ainsi hébergée dans des infrastructures européennes dans un délai de 12 à 18 mois et, en tout état de cause, ne dépassant pas deux ans après novembre 2020.

Les documents transmis par la CPU et la CGE font apparaître, dans certains cas, des transferts de données personnelles vers les États-Unis dans le cadre de l’utilisation des « suites collaboratives pour l’éducation ». Dans les établissements qui emploient ces outils, les données traitées concernent potentiellement un nombre important d’utilisateurs (étudiants, chercheurs, enseignants, personnel administratif), et ces outils peuvent conduire au traitement d’une quantité considérable de données dont certaines sont sensibles (par exemple des données de santé dans certains cas) ou ont des caractéristiques particulières (données de la recherche ou relatives à des mineurs).

Approfondir le sujet avec les mesures proposées par l’Europe.

Droit au déréférencement

Le 6 décembre 2019, le Conseil d’État a rendu d’importantes décisions relatives à des demandes de déréférencement de résultats faisant apparaître des données sensibles.

Le droit au déréférencement permet à toute personne de demander à un moteur de recherche de supprimer certains résultats qui apparaissent à partir d’une requête faite sur ses nom et prénom. Cette suppression ne signifie pas l’effacement de l’information sur le site internet source.

Le 24 septembre 2019, la Cour de justice de l’Union européenne (CJUE) avait rendu un arrêt apportant des précisions sur les conditions dans lesquelles les personnes peuvent obtenir le déréférencement d’un lien apparaissant dans un résultat de recherche lorsque la page auquel le lien renvoie contient des informations relatives à des données sensibles (par exemple, leur religion, leur opinion politique) ou à une condamnation pénale.

Sur cette base, le Conseil d’État a, par 13 décisions rendues le 6 décembre 2019, apporté d’importantes précisions sur la mise en œuvre du droit au déréférencement. Le Conseil d’État indique que pour chaque demande de déréférencement, l’intérêt du public à avoir accès à cette information doit être mis en balance avec trois grandes catégories de critères :

les caractéristiques des données en cause : contenu des informations, leur date de mise en ligne, leur source, etc. ;
la notoriété et la fonction de la personne concernée ;

les conditions d’accès à l’information en cause : la possibilité pour le public d’y accéder par d’autres recherches, le fait que l’information ait été manifestement rendue publique par la personne concernée, etc.

Si les informations publiées sont des données dites « sensibles » (religion, orientation sexuelle, santé, etc.), elles doivent faire l’objet d’une protection particulière et donc, dans la mise en balance, d’une pondération plus importante. Le déréférencement ne pourra être refusé que si ces informations sont « strictement nécessaires » à l’information du public. En revanche, si ces données ont été manifestement rendues publiques par la personne concernée, leur protection particulière disparaît.

Par ailleurs, s’agissant des données relatives à une procédure pénale, comme la CJUE, le Conseil d’État indique que l’exploitant d’un moteur de recherche peut être tenu d’aménager la liste des résultats en vue d’assurer que le premier de ces résultats au moins mène à des informations à jour pour tenir compte de l’évolution de la procédure (par exemple, dans l’hypothèse où, après avoir été condamnée en première instance, une personne bénéficie d’une relaxe en appel).

La CNIL prend acte de ces précisions dans les informations publiées sur son site internet, notamment dans la FAQ décrivant les conséquences pratiques de ces décisions sur les personnes concernées, ainsi que dans l’instruction des centaines de demandes de déréférencement qu’elle reçoit tous les ans.

Les textes de référence
Arrêt de la Cour de justice de l’Union européenne du 24 septembre 2019 dans l’affaire C-136/17
13 décisions relatives au droit à l’oubli prises par le Conseil d’État le 6 décembre 2019

CJUE: Un coup d’arrêt à la rétention des données

L’Union européenne invalide la directive controversée sur la rétention des données. Dans un arrêt publié ce mardi 8 avril, la Cour de Justice de l’Union Européenne (CJUE) a invalidé la directive européenne 2006/24 sur la rétention des données ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, notamment pour non-respect du principe de proportionnalité. Le juge européen reproche en outre à la directive de ne pas imposer une conservation des données sur le territoire de l’UE.

La Député Européenne Françoise Castex salue cette décision de la CJUE: « après le rapport Moraes sur le programme d’espionnage de la NSA, et l’adoption du paquet données personnelles par les eurodéputés, c’est un signal fort envoyé au Conseil. » La directive 2006/24 oblige les opérateurs télécoms à stocker des données sur l’ensemble des communications de leurs clients afin de faciliter la recherche, la détection et la poursuite d’infractions graves.

Pour la Vice-Présidente de la Commission des Affaires juridiques du Parlement européen: « cette directive, qui a été votée dans le cadre des accords UE/États-Unis après les attentats du 11 septembre, ne répondait pas aux exigences imposées par les droits fondamentaux à la vie privée et à la protection des données« .

« Cet arrêt confirme ma conviction qu’il est urgent de doter l’Europe d’un habeas corpus numérique, et de suspendre, une fois pour toute, les accords Safe Harbour et Swift/TFTP qui autorisent le transfert des données personnelles des Européens aux autorités américaines« , conclut l’eurodéputée Nouvelle Donne.