La Commission de protection des données de Hambourg (HmbBfDI[1]) a averti le Sénat de Hambourg, dans un communiqué publié le 16 août 2021, que l’utilisation de l’application de vidéoconférence Zoom était contraire au RGPD[2], car elle implique un transfert de données à caractère personnel vers les États-Unis, pays qui n’offre pas une protection adéquate depuis l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne (CJUE).

La Commission estime que « les données des employés des autorités et des participants externes aux entretiens seront ainsi exposées au risque d’une surveillance étatique de masse sans motif aux États-Unis, contre laquelle il n’existe pas de possibilités de recours suffisantes ».

Le communiqué de la Commission :

« Le délégué hambourgeois à la protection des données et à la liberté d’information (HmbBfDI) a officiellement mis en garde la chancellerie du Sénat de la ville libre et hanséatique de Hambourg (FHH) contre l’utilisation de la solution de vidéoconférence de Zoom Inc. dans sa variante dite "à la demande". Cela est contraire au règlement général sur la protection des données (RGPD), car une telle utilisation implique le transfert de données à caractère personnel vers les États-Unis. Dans ce pays tiers, il n’existe pas de protection suffisante pour de telles données. Cela a été constaté par la Cour de justice européenne dans l’arrêt Schrems II il y a déjà plus d’un an (C-311/18) et le Privacy Shield, jusqu’alors en vigueur, a été invalidé comme base de transfert. Un transfert de données n’est donc possible qu’à des conditions très strictes, qui ne sont pas réunies dans le cas de l’utilisation prévue de Zoom par la chancellerie du Sénat. Les données des employés des autorités et des participants externes aux entretiens seront ainsi exposées au risque d’une surveillance étatique de masse sans motif aux États-Unis, contre laquelle il n’existe pas de possibilités de recours suffisantes.

La commission européenne de protection des données a formulé des exigences pour pouvoir transférer des données personnelles dans un pays tiers comme les États-Unis, conformément au RGPD. Le HmbBfDI se base sur ce critère dans l’économie comme dans l’administration publique. Les documents présentés par la chancellerie du Sénat concernant l’utilisation de Zoom indiquent que ces critères ne sont pas respectés. D’autres bases juridiques, comme le consentement de toutes les personnes concernées, ne sont pas non plus pertinentes ici.

La Chancellerie du Sénat - en tant qu’autorité responsable des questions de numérisation au sein de la ville de Hambourg - a certes informé le HmbBfDI à un stade précoce des projets correspondants, mais n’était pas disposée par la suite à répondre à ses préoccupations répétées. Même l’ouverture d’une procédure formelle par l’audition de la chancellerie du Sénat le 17 juin 2021 n’a pas conduit à un changement d’attitude. Aucun document ou argument permettant une autre évaluation juridique n’a été présenté au HmbBfDI, ni dans le délai imparti, ni par la suite. L’avertissement formel en vertu de l’article 58, paragraphe 2, point a) du RGPD est donc une étape logique.

Ulrich Kühn, commissaire hambourgeois par intérim à la protection des données et à la liberté d’information, déclare à ce sujet : "Les organismes publics sont particulièrement tenus de respecter le droit. Il est donc plus que regrettable de devoir en arriver à une telle étape formelle. Au sein de la ville de Hambourg, tous les collaborateurs disposent d’un outil de vidéoconférence éprouvé et sans problème en ce qui concerne le transfert vers des pays tiers. Dataport, en tant que prestataire de services central, met également à disposition d’autres systèmes de vidéoconférence dans ses propres centres de calcul. Ceux-ci sont utilisés avec succès dans d’autres pays, comme par exemple le Schleswig-Holstein. Il est donc incompréhensible que la chancellerie du Sénat insiste sur un système supplémentaire et hautement problématique d’un point de vue juridique". »

Lire :

Notes et références

  1. HmbBfDI : Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (datenschutz-hamburg.de).
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).