Invalidation du Privacy Shield par la CJUE : quelles conséquences pour les entreprises transférant des données vers les États-Unis ?

Invalidation du Privacy Shield par la CJUE : quelles conséquences pour les entreprises transférant des données vers les Etats-Unis ?

RAPPEL JURIDIQUE

Tout d’abord, il est de bon ton de rappeler quelques règles juridiques de base.

L’accord Privacy Shield était un mécanisme d’auto-certification permettant aux entreprises américaines de traiter des données personnelles de citoyens européens. Il avait pour fondement juridique une décision d’adéquation de la Commission Européenne (Décision d'exécution (UE) 2016/1250 de la Commission du 12 juillet 2016).

La Commission Européenne avait donc considéré que ce mécanisme offrait des garanties équivalentes à celles mises en œuvre par le droit de l’Union en matière de protection des données personnelles.

Néanmoins, la Cour de Justice de l’Union Européenne (CJUE) est habilitée à se prononcer sur la validité d’un acte de l’Union sur renvoi préjudiciel.

Dans le cas d’espèce, la CJUE indique aux autorités nationales que le mécanisme du Privacy Shield n’est pas valide au regard du droit de l’Union mais que les clauses contractuelles types encadrant les transferts de données vers des états tiers sont valides sous réserve de mécanismes effectifs de protection.

QUE DIT LE COMITÉ EUROPÉEN DE PROTECTION DES DONNÉES ?

Le CEPD interdit désormais tout transfert de données personnelles vers les Etats-Unis fondé sur le Privacy Shield, et ce de manière immédiate [1].

QUE DISENT LA COMMISSION EUROPÉENNE ET LE SECRÉTAIRE DU DÉPARTEMENT DU COMMERCE AMÉRICAIN ?

Dans un communiqué paru le 10 août 2020 sur le site de la Commission européenne, il est simplement indiqué que la Commission et le département du commerce américain allaient entamer des discussions afin d’améliorer le Privacy Shield afin de se conformer à la décision de la CJUE [2].

QUE FAIRE ?

Par suite de l’invalidation du Privacy Shield par la CJUE, plus de 5300 entreprises certifiées Privacy Shield doivent désormais trouver un nouveau mécanisme garantissant la protection des données personnelles en matière de transfert UE-Etats-Unis [3].

Il reste alors à évaluer les mécanismes les plus pertinents au cas par cas :

·       Les clauses contractuelles types de la Commission européenne (dans le respect des réserves émises par la CJUE)

·       Les règles d’entreprise contraignantes (article 47 du RGPD)

·       Les codes de conduite (article 46 du RGPD)

·       Les exceptions de l’article 49 du RGPD tels que le traitement fondé sur le consentement de la personne concernée ou sur l’exécution d’un contrat [4]

Chaque entreprise réalisant des transferts de données personnelles devra procéder en plusieurs étapes :

1.       Cartographier ses transferts et ses contrats

2.       Auditer ses cocontractants pour vérifier la localisation des transferts de données, si possible interdire les transferts vers les Etats-Unis   

3.       Si transfert vers les Etats-Unis, modifier ses contrats pour obliger le prestataire américain à ne divulguer les données que sur décision de justice

4.       Auditer ses cocontractants en cours d’exécution du contrat pour vérifier qu’ils se conforment bien aux exigences du RGPD

5.       Informer les personnes concernées par le transfert vers les Etats-Unis et leur indiquer leurs droits

Si vous ne pouvez pas mettre en place les garanties appropriées et que vous souhaitez continuer à transférer vos données vers les Etats-Unis, vous êtes tenus de notifier votre autorité de contrôle [5].

Au regard de l’incertitude juridique régnant actuellement et dans l’attente de précisions de la part des autorités de protection de données, il est aujourd’hui souhaitable et fortement recommandable de :

  • Exiger des garanties contractuelles supplémentaires du prestataire situé sur le territoire américain (qui soient plus protectrices que les CCT actuelles).

  • Recourir à des prestataires dont les centres de données se situent sur le territoire de l’Espace Economique Européen.

  • Recourir à des prestataires dont les centres de données se situent sur le territoire d’un pays présentant un niveau de protection adéquat.

  • Transférer des données vers les Etats-Unis dans les cas limitativement énumérés par l’article 49 du RGPD si ces transferts ne sont pas répétitifs et ne concernent qu’un nombre limité de personnes.

[1] https://www.cnil.fr/fr/invalidation-du-privacy-shield-la-cnil-et-ses-homologues-analysent-actuellement-ses-consequences

[2] https://ec.europa.eu/info/news/joint-press-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-ross-7-august-2020-2020-aug-07_en

[3] https://www.commerce.gov/news/press-releases/2020/07/us-secretary-commerce-wilbur-ross-statement-schrems-ii-ruling-and

[4] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf

[5] https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-premieres-questions-reponses-du-cepd

Précédent
Précédent

Le numérique au cœur du plan “France Relance”

Suivant
Suivant

Le bouclier fracturé par les juges européens