La Cour de justice de l'Union européenne (CJUE) a invalidé ce jeudi 16 juillet, l’accord dit « Privacy Shield », mécanisme majeur qui régit depuis 2016 les transferts de données à caractère personnel entre l’Union européenne et les Etats-Unis. Ces flux de données sont essentiels à la bonne réalisation des opérations de plusieurs entreprises, environ 5300 à ce jour, particulièrement : des multinationales, des fournisseurs de services cloud et éditeurs de logiciels, dont les centres de données sont souvent disséminés dans plusieurs pays. Les entreprises du numérique et leurs clientèles sont donc très impactées par cette décision, notamment dans les secteurs du tourisme, de l’événementiel, de l’immobilier, mais aussi dans le secteur financier. En attendant que la CNIL et ses homologues analysent les conséquences de cette décision majeure, explications sur ce qu’il faut savoir de l’origine et des péripéties du Privacy Shield, puis focus sur deux mécanismes alternatifs avec la présente analyse concoctée par Alcees.

Les transferts de données EU-US : déjà en question à partir de 2015

A l’origine, les transferts de données personnelles des citoyens européens vers les Etats-Unis étaient encadrés par un ensemble de principes de protection des données personnelles, négociés entre les autorités américaines et la Commission européenne en 2001, dans le cadre du dispositif dit de « Safe Harbor ».

Safe Harbor a été invalidé par la décision de la CJUE du 6 octobre 2015, notamment dans le cadre d’une affaire opposant un avocat autrichien militant pour la vie privée, Maximilian Schrems, à la société Facebook (affaire Schrems). Cette nouvelle absence de cadre légal avait conduit la Commission européenne à proposer quelque peu dans l’urgence, un nouvel accord pour permettre de nouveau de procéder à des transferts entre l’Europe et les Etats-Unis, dit de « Privacy Shield ».

Le Règlement Général sur la Protection des Données (RGPD) entré en vigueur en 2016, a apporté un cadre permettant d’organiser plus finement la transmission de données hors Union européenne. Le Privacy Shield a donc fait l’objet d’une décision d’adéquation en juillet 2016. Cette reconnaissance a eu pour effet de permettre la transmission des données entre les deux rives de l’Atlantique, aussi simplement que s’il s’agissait d’un transfert entre pays membres de l’UE. Mais à peine mis en œuvre, le mécanisme de Privacy Shield a été régulièrement mis à l’épreuve. Celui-ci a connu une première revue en septembre 2017, puis une seconde revue en décembre 2018. Et troisièmement un nouveau rebondissement en 2020 : invalidation.

L’invalidation du Privacy Shield en 2020 : ce qu'il faut retenir

#ECJ: the Decision on the adequacy of the protection provided by the EU-US Data Protection Shield is invalidated, but @EU_Commission Decision on standard contractual clauses for the transfer of personal data to processors established in third countries is valid #Facebook #Schrems pic.twitter.com/BgxGAvuq3T — EU Court of Justice (@EUCourtPress) July 16, 2020

  • La décision de la CJEU ne concerne pas les transferts de données jugés « nécessaires » au sens du Règlement européen
  • La CJUE estime que ce mécanisme qui permet à une organisation de transférer des données personnelles de l’UE vers les Etats-Unis n’offre pas un niveau de protection adéquat au regard du RGPD et de la Charte des droits fondamentaux de l’UE. En l’occurrence, la CJUE a estimé que la NSA ou le FBI possèdent de larges pouvoirs de surveillance et peuvent donc accéder aux données personnelles d’européens sans possibilité de recours ni de contrôle de la part d’un juge sans se limiter au strict nécessaire. Incompatible donc avec les lois de l’UE qui exigent la confidentialité des données personnelles.
  • En revanche, la CJUE valide la décision de la Commission relative au mécanisme des Clauses Contractuelles Types ou CCT qui autorise le transfert de données vers des sous-traitants établis hors UE.

 

Ce que les entreprises peuvent faire : les mécanismes alternatifs activables en 2020

Afin de poursuivre des opérations de transfert de données personnelles depuis l’UE vers les Etats-Unis en toute légalité, que reste-t-il ? Vous l’aurez compris, la déroute du Privacy Shield ne signifie pas pour autant l’arrêt total des transferts de données personnelles entre l’Union européenne et les Etats-Unis. Il est possible de s’appuyer sur d’autres mécanismes expressément énoncés dans le RGPD (pour rappel, cf. article 46 du Règlement). Ainsi, nous avons sélectionné deux mécanismes alternatifs valides.

Notre recommandation est donc de privilégier l’élaboration :

  • de Clauses Contractuelles Types de protection des données personnelles ou CCT : ce mécanisme fait référence à des modèles de contrats adoptés par la Commission européenne permettant d’encadrer les transferts de données personnelles de salariés ou de clients et prospects effectués par des responsables de traitement vers des destinataires situés hors de l’UE ; par CCT, le transfert de données depuis l’UE vers les Etats-Unis reste donc possible ; ce mécanisme est utilisable dans le cas de transferts de responsable de traitement à responsable de traitement et les cas de transferts de responsable de traitement à sous-traitant ; Il existe donc deux types de clauses afin d’encadrer chacun des transferts ; le recours aux CCT ne nécessite pas d’autorisation de la part de l’autorité de contrôle (par d’autorisation de la CNIL par exemple, si votre entreprise dépend de la CNIL) ;
  • et à défaut, de règles d’entreprise contraignantes ou BCR pour « Binding Corporate Rules » : ce mécanisme correspond à la mise en place d’un code de conduite, définissant la politique en matière de transferts de données personnelles de salariés ou de clients et prospects hors de l’UE au sein des entités d’un groupe ou d’un groupe d’entreprises engagées dans une activité économique conjointe (politique intra-groupe). De plus, il leur offre la possibilité d’engager une démarche de mise en conformité globale à l’échelle de tout le groupe, c’est-à-dire, dans l’exemple d’un encadrement de transferts entre différentes entités d’un groupe international, de déployer des règles globales et non des contrats pour chaque transfert.

Alcees accélère votre "accountability" et votre maintien en conformité au RGPD

L’économie numérique au coeur de la croissance et de la compétitivité des entreprises repose en grande partie sur la confiance des clients et des citoyens. Cette confiance ne peut être renouvellée que si les entreprises et administrations se comportent de manière loyale et transparante dans le traitement des données personnelles. Alcees accompagne ses clients dans l’appréhension du RGPD, vecteur de cette confiance, et surtout dans la valorisation de leur “accountability” pour une expérience client vertueuse.

Notre équipe spécialisée en protection des données se tient disponible pour vous aider dans cette nouvelle démarche, eu égard de l’invalidation du Privacy Shield et au-delà…Vous l’aurez compris, la réflexion s’ouvre au-delà des transferts de données transatlantiques. C’est toute la problématique de conformité des transferts de données vers des pays tiers qui est à questionner. Des problématiques d’accountability et d’analyses de risques d’atteinte à la vie privée sont à anticiper. C’est le bon moment pour s’y pencher.

Et si nous cartographions ensemble vos transferts de données ?

Nous pouvons également aider les responsables de traitement  dans l’inventaire des services tiers (sous-traitants) auxquels les entreprises ont recours. D’autres interventions sont possibles…

Pour en savoir plus, rien de plus simple : contactez notre équipe par téléphone au 01 45 46 85 28 ou par email à information@alcees.com