RGPD : Zoom pas plus conforme que le Health Data Hub ?

RGPD Allemagne Zoom

En Allemagne, l’usage de Zoom dans une administration publique est dénoncé pour non-conformité au RGPD. Un écho à plusieurs affaires en cours en France.

Zoom et le Health Data Hub, même combat ? Du côté du Future of Privacy Forum, on fait le parallèle pour ce qui est de la conformité au RGPD. Ou plutôt du défaut de conformité. En toile de fond, la montée au créneau d’une CNIL allemande. Plus précisément celle du land de Hambourg. Elle a récemment émis un avertissement public à l’encontre de la Chancellerie du Sénat. Et lui a enjoint, dans ce cadre, d’arrêter d’utiliser la version SaaS du logiciel de visio. Le problème ? Des transferts de données personnelles vers les États-Unis sans base juridique valide.

Pendant un temps, les transferts de ce type ont pu se faire sous le couvert du Privacy Shield. À travers cet ensemble de principes auxquels les entreprises américaines pouvaient se soumettre, l’Union européenne reconnaissait que Washington offrait les garanties idoines pour la protection desdites données. Mais la CJUE avait fini par invalider le mécanisme (arrêt « Schrems II », juillet 2020).

En l’état, à défaut de successeur au Privacy Shield, les transferts en question doivent reposer sur un mécanisme alternatif pour être conformes au RGPD. L’UE en liste cinq, essentiellement de nature contractuelle. Le plus répandu étant les clauses types.

Zoom les a-t-il effectivement mises à contribution dans son contrat avec la Chancellerie du Sénat de Hambourg ? L’entreprise américaine les met en tout cas en avant dans sa déclaration de confidentialité.
Le Future of Privacy Forum retient cette hypothèse. Et estime que le souci ne se trouve pas tant dans les clauses que dans les « mesures complémentaires » qu’il peut être nécessaire de leur adjoindre.

Zoom clauses contractuelles
(cliquer sur l’image pour l’agrandir)

En France, les « outils collaboratifs étatsuniens » scrutés

Le CEPD (Comité européen de protection des données) a récemment adopté des recommandations en la matière. Il se trouve que la CNIL de Hambourg y fait référence en conclusion à son injonction. Sa démarche fait suite, explique-t-elle, à des sollicitations sans réponse, malgré une audition de la Chancellerie du Sénat à la mi-juin. Le choix de Zoom est d’autant plus décevant, poursuit-elle, qu’il existe une alternative « souveraine » chez Dataport. Ce fournisseur de services informatiques est contrôlé par l’administration publique allemande. Il offre ses prestations dans une demi-douzaine de länder, dont Hambourg.

Dans le même ordre d’idée, la CNIL française avait, fin mai, appelé à des « évolutions dans l’utilisation des outils collaboratifs étatsuniens pour l’enseignement supérieur et la recherche ». Les Conférences des grandes écoles et des présidents d’université l’avaient auparavant saisie… en particulier sur la question des transferts internationaux de données personnelles.

La commission avait secondé la CJUE quant à la nécessité de mesures complémentaires aux clauses contractuelles. Elle avait reconnu la possibilité de justifier les transferts par l’une des dérogations autorisées à l’article 49 du RGPD. Tout en insistant sur le fait que cela devait rester l’exception.
Parmi ces dérogations, il y a le consentement des utilisateurs. Option que la CNIL de Hambourg juge non pertinente dans le cas de Zoom et de la Chancellerie du Sénat.

Photo d'illustration © mixmagic - Adobe Stock