Schrems 2: recommandations finales de l'EDPB
Le 18 juin 2021 l'European Data Protection Board (la réunion des CNIL européennes) a publié ses recommandations sur les mesures supplémentaires à appliquer pour assurer la conformité au RGPD des transferts de données hors de l'Union européenne 🇪🇺.
Contexte 🎙
Le 16 juillet 2020, la Cour de Justice de l'Union européenne invalidait le Privacy Shield, jugeant que les lois de renseignement américaines contreviennent au RGPD.
Depuis cette date, il est donc illégal de sous-traiter auprès d'une entreprise opérant ou sous-traitant tout ou partie de son activité au États-Unis sans signer des Standard Contractual Clauses et sans mettre en œuvre des mesures supplémentaires.
N'hésitez pas à lire notre article dédié sur le sujet : Cloud Act, FISA, ... pourquoi le Privacy Shield a été invalidé ?
L'EDPB avait publié en novembre 2020 une première version de recommandations sur ces mesures supplémentaires, et après consultation publique, ils viennent d'émettre la version définitive :
NB : cet article n'a que vocation à vulgariser les recommandations officielles, et ne les remplace d'aucune façon, référez-vous au document original pour vous assurer de votre conformité 👍.
Méthodologie 🤓
L'EDPB a établi une méthodologie pour adopter les mesures supplémentaires adéquates :
- Connaître ses transferts ➡ : bien qu'évident à dire, il y a quelques subtilités :
- certains sous-traitants européens stockant les données dans l'Espace Économique Européen laissent parfois un accès aux données à des pays tiers (à des fins de support), cela constitue alors un transfert ;
- certains transferts peuvent être injustifiés au titre du principe de minimisation.
- Valider la licéité du transfert ✅ : le transfert doit être autorisé par un des articles du chapitre V :
- Article 45 : les transferts vers certaines zones géographiques (comme l'Argentine, la Nouvelle-Zélande ou le Japon, mais plus les États-Unis) sont autorisés sur le principe d'une adéquation des garanties fournies dans cette zone avec le RGPD.
- Article 46 : si une adéquation n'est pas déclarée par la Commission Européenne, il faut utiliser des Clauses Types de protection des données (Standard Contractual Clauses) comme outil juridique de transfert ;
- Article 49 : certains transferts exceptionnels sont par dérogation autorisés vers des pays n'offrant aucune garantie, mais ne peuvent en aucun cas constituer la norme ;
- Évaluer la législation du pays d'exportation ⚖️ : c'est au responsable de traitement de prouver que le transfert de données assure l'application effective des Clauses Types compte tenu de la législation locale. Si ces garanties ne peuvent être assurées, il faut soit :
- cesser le transfert ;
- mettre en place des "mesures supplémentaires" pour obtenir des garanties adéquates. Typiquement aux États-Unis, FISA Section 702 contrevient aux Clauses Types (ce qui est la raison de l'invalidation du Privacy Shield), il faut donc mettre en œuvre des mesures supplémentaires.
- Mettre en œuvre des mesures supplémentaires ➕ : l'objectif de ces mesures est d'atteindre un niveau de garantie effectif sur les données transférées équivalent à une sous-traitance intra-EEE (Espace Économique Européen). Si aucune combinaison de mesures supplémentaires ne permet d'atteindre cette garantie, il faut cesser le transfert.
Mesures supplémentaires 💪
L'EDPB ne donne pas de liste exhaustive de mesures supplémentaires, elle laisse le soin à chaque exportateur de trouver les mesures adéquates selon les données, le traitement et le pays d'exportation.
Elle donne malgré tout des exemples que nous allons étudier :
🟢 Stockage de données sans besoin d'accéder aux données en clair ;
🟢 Transfert de données pseudonymisées ;
🟢 Chiffrement de données pour les protéger contre une écoute en transit hors EEE (Espace Économique Européen);
🟢 Destinataire protégé ;
🟢 Secret réparti ou multi-party computation.
Stockage de données sans besoin d'accéder aux données en clair ❌
Si vous souhaitez stocker des données chez un sous-traitant hors de l'EEE et que celui n'a pas besoin d'accéder aux données, l'EDPB propose de partir du principe que ce sous-traitant est malveillant en matière de confidentialité et d'intégrité des données parce que les autorités du pays dans lequel il opère peuvent essayer de lire ou d'altérer les données hébergées.
Cela n'empêche pas de lui faire confiance en matière de disponibilité des données : on peut au moment où on en a besoin récupérer les données auprès du sous-traitant et les déchiffrer avec la clé qu'il n'a pas.
Pour ce faire, voici le détail des mesures supplémentaires à adopter :
- les données personnelles sont chiffrées avant envoi au sous-traitant ;
- l'algorithme de chiffrement, ses paramètres et la gestion de clés sont conformes à l'état de l'art et considérés robustes face aux capacités d'attaque, de cryptanalyse et de calcul des autorités du pays d'importation et dimensionnées correctement compte tenu de la durée pendant laquelle les données doivent rester illisibles par les autorités du pays d'importation ;
- l'algorithme de chiffrement est implémenté correctement, par des logiciels correctement maintenus et sans vulnérabilité connue, dont la conformité à la spécification de l'algorithme choisi a été vérifiée, par exemple, par certification ;
- les clés sont conservées uniquement sous le contrôle de l'exportateur de données, ou par une entité à laquelle l'exportateur fait confiance dans l'EEE ou dans une juridiction offrant un niveau de protection essentiellement équivalent à celui garanti dans l'EEE.
Attention : utiliser un HSM, un KMS ou du BYOK déléguant le stockage, le contrôle ou l'utilisation de la clé au sous-traitant hors de l'EEE n'est pas une mesure supplémentaire suffisante 👎.
Transfert de données pseudonymisées 🕵️
Si vous souhaitez analyser des données chez un sous-traitant hors de l'EEE, et que vous n'avez besoin que d'une partie des données pour l'analyse, en particulier pas les données identifiantes, vous pouvez alors procéder à une pseudonymisation rigoureuse, puis effectuer le transfert des seules données pseudonymisées.
Plus précisément, voici les conditions requises pour que cela puisse être considéré comme une mesure supplémentaire efficace :
- la pseudonymisation doit être effectuée conformément à l'article 4(5) du RGPD, en particulier, il ne doit pas être possible d'attribuer des données pseudonymisées aux personnes auxquelles elles correspondent sans utiliser une table de pseudonymisation ;
- la table de pseudonymisation et son utilisation pour ré-identifier les personnes doit rester contrôlée par l'exportateur par des mesures techniques (comme du chiffrement) et organisationnelles ;
- si une mesure de chiffrement est utilisée pour assurer le contrôle de la table de pseudonymisation, cette mesure doit être implémentée avec les mêmes précautions qu'une sauvegarde sécurisée étudiée précédemment ;
- l'exportateur a établi par une analyse profonde des données pseudonymisées que celles-ci ne peuvent être ré-identifiées, ce même en utilisant des sources ouvertes ou des sources fermées disponibles des autorités du pays de destination.
Chiffrement de données pour les protéger contre une écoute en transit hors EEE 👂
Dans beaucoup de cas, on doit faire transiter, y compris par Internet, des données au travers de pays dont la législation les autorise à tenter d'en lire le contenu.
Pour cela, des techniques de chiffrement en transit robustes doivent être mises en œuvre, en particulier :
- les algorithmes de chiffrement, leurs paramètres et leur gestion de clés sont conformes à l'état de l'art et considérés robustes face aux capacités d'attaque, de cryptanalyse et de calcul des autorités du pays d'exportation et dimensionnées correctement compte tenu de la durée pendant laquelle les données doivent rester illisibles par les autorités du pays d'exportation ;
- une autorité ou infrastructure de certification sûre est choisie par les parties ;
- des mesures proactives et à l'état de l'art (comme des tests de vulnérabilités / backdoors) sont utilisées pour se défendre d'attaques actives et passives sur les systèmes fournissant du chiffrement en transit ;
- si le chiffrement en transit au niveau de l'infrastructure est insuffisant (parce qu'il laisserait la capacité à un tiers d'écouter le flux), il est complété de chiffrement de bout-en-bout (au moins entre client et serveur) au niveau applicatif ;
Destinataire protégé 🔒
Dans certains cas spécifiques, la législation du pays tiers peut protéger le secret de certaines données pour certaines professions et dans certains cas (par exemple, dans le cas du secret médical ou du secret professionnel de l'avocat).
Dans ces cas-là, l'EDPB considère le transfert conforme à condition que :
- la législation du pays tiers assure le secret des données à l'importateur sous-traitant des données dans le cas de ce transfert, et cette assurance s'étend aux clés de chiffrement et autres moyens permettant d'accéder aux informations soumises à ce secret ;
- le sous-traitant s'assure que ses propres sous-traitants ont la même assurance légale ;
- les données sont chiffrées avant envoi et déchiffrées seulement par l'importateur sous-traitant au moyen de chiffrement de bout-en-bout garantissant que la clé n'est pas accessible par d'autres entités que l'importateur sous-traitant (et éventuellement de l'exportateur).
Secret réparti ou multi-party computation 🤐
L'exportateur peut vouloir traiter les données personnelles par des techniques dites de multi-party computation ou de secret réparti. Le principe dans les deux cas est le même : diviser les données personnelles en plusieurs morceaux avant transfert, transférer chaque morceau dans des juridictions différentes et reconstituer les données seulement dans l'EEE.
L'EDPB considère le transfert comme conforme aux conditions suivantes :
- la technique de division des données est faite de telle sorte qu'il ne doit pas être possible d'attribuer à partir d'une seule partie des données les personnes auxquelles elles correspondent, ce même en utilisant des sources ouvertes ou des sources fermées disponibles des autorités de chaque juridiction de destination ;
- la technique de division utilisée est robuste contre des attaques actives ;
- les données sont envoyées dans des juridictions différentes,
- il a été démontré qu'aucune collusion, collaboration ou entraide d'aucune sorte n'est possible entre les autorités de chaque juridiction qui pourrait entrainer l'attribution des données aux personnes auxquelles elles correspondent ;
- les données (et les éventuels résultats de multi-party computation) ne sont reconstituées qu'intra-EEE.
Conclusion 🔥
Les recommandations de l'EDPB sont particulièrement rigoureuses, notamment dès lors qu'il s'agit de chiffrement, ce que je salue tout particulièrement.
Il s'agit d'un des premiers documents normatifs — à ma connaissance — qui distingue correctement la portée des différentes techniques de chiffrement (en transit, au repos, de bout-en-bout) que nous expliquions dans notre livre blanc.
Par ailleurs, les scénarios d'attaque contre lesquels l'EDPB contraint les entreprises à se défendre sont très poussées et demandent une réelle expertise aux entreprises souhaitant transférer des données, notamment face à des acteurs gouvernementaux (américains) particulièrement visés dans ce document.
Cela témoigne à mon sens d'une maturité certaine du régulateur européen en matière de souveraineté numérique (pourtant souvent dénoncé pour sa naïveté en la matière).
Si vous cherchez à implémenter des mesures supplémentaires similaires à celles décrites ci-dessus, n'hésitez pas à nous contacter 👋 !