L’invalidation du Privacy Shield par la Cour de Justice de l’Union Européenne (CJUE) le 16 juillet 2020 a impacté quelque 5 000 entreprises (dont tous les géants américains de l’Internet), qui reposaient jusqu’alors sur ce moyen d’encadrement pour transférer des données européennes vers les États-Unis. Que se passe-t-il désormais ? Eléments de réponse.
Les conséquences de la fin du Privacy Shield
Par cette décision dite « Schrems II », la CJUE a considéré que l’ingérence des autorités américaines couplée au manque de protection des droits des citoyens européens par la loi américaine faisait obstacle à la poursuite du Privacy Shield de 2016.
L’invalidation du Privacy Shield a une résonnance particulière dans un contexte où 92% des données numériques européennes sont hébergées aux États-Unis (Rapport « European Digital Sovereignity » Olivier Wyman) ; on comprend alors aisément l’impact d’une telle décision sur les entreprises reposant jusqu’alors sur ce mécanisme.
Néanmoins, celles-ci ne sont pas laissées sans solution, puisque le Comité Européen de la Protection des Données (CEPD) a publié le 10 novembre 2020 des recommandations, qui sont autant de pistes à explorer pour les importateurs de données basés aux États-Unis notamment, afin de rassurer les exportateurs européens s’agissant des mesures et autres garanties supplémentaires que ces sociétés américaines seraient en mesure de mettre en œuvre pour protéger davantage les données européennes.
Ces recommandations ont elles-mêmes été suivies de près par un nouveau projet de clauses contractuelles types de la Commission Européenne le 12 novembre 2020. Pour en savoir plus sur ce point, je vous invite à consulter mon article « The new SCCs – Are you Ready ? » sur mon blog.
Selon une déclaration de la présidente du CEPD Andrea Jelinek, « il n’y a pas de solution miracle ni de solution unique pour tous les transferts car cela viendrait à ignorer la grande diversité des situations auxquelles les exportateurs de données sont confrontés ».
Ainsi, le Comité européen rappelle que les responsables de traitement utilisant des clauses contractuelles types comme base de transfert de données sont tenus de vérifier au cas par cas si la législation du pays tiers assure un niveau de protection essentiellement équivalent à celui garanti au sein de l’Espace économique européen.
Dans le cas contraire, ou bien lorsque les clauses contractuelles sont insuffisantes, la CJUE suggère aux exportateurs dans son arrêt Schrems II, d’ajouter des garanties supplémentaires au contrat pour assurer le respect du niveau de protection attendu, et à défaut de faire cesser tout transfert.
Les recommandations du CEPD ont pour objectif de guider les responsables de traitement et sous-traitants dans leur devoir d’évaluation du transfert, d’identification et de mise en œuvre de mesures supplémentaires appropriées, en assurant une application effective du Règlement Général sur la Protection des Données (RGPD) et de l’arrêt de la CJUE.
Quelle procédure de validation ?
Selon ces recommandations, les exportateurs de données doivent suivre une procédure de vérification comportant six étapes :
- Tout d’abord, l’exportateur doit répertorier tous les transferts internationaux envisagés via une analyse d’impact, en respectant les principes de minimisation des données (transférer un minimum de données) et de limitation des finalités (ne transférer que des données pertinentes à la finalité du traitement).
- En l’absence de décision d’adéquation comme pour les États-Unis, l’exportateur doit vérifier les outils de transferts applicables (l’un des instruments de transferts de l’article 46 RGPD ou les dérogations prévues par l’article 49 du RGPD).
- Il doit évaluer si la loi applicable du pays de destination comporte des garanties essentiellement équivalentes au RGPD, et s’il y a un risque qu’elle porte atteinte à l’efficacité de celles-ci. Cette obligation est réciproque dans la mesure où elle repose sur le devoir de l’importateur de fournir des conseils sur la législation applicable.
- Lorsque l’évaluation de la loi du pays de destination révèle que celle-ci porte atteinte à l’efficacité de l’instrument de transfert, l’exportateur doit adopter des mesures supplémentaires assorties de conditions assurant leur efficacité ; et si aucune ne convient, faire cesser les transferts.
- Dans le cas où l’exportateur a identifié des mesures supplémentaires efficaces à mettre en œuvre, il doit également prendre toutes les mesures procédurales formelles correspondantes énumérées dans la recommandation du CEPD précitée.
- Enfin, l’exportateur devra réévaluer à intervalles réguliers le niveau de protection des données transférées vers le pays tiers, et si des développements récents ont pu l’affecter.
Il appartient à l’exportateur de données de citoyens européens de veiller à suivre ces étapes, puisque celui-ci est tenu par un principe de responsabilité exigeant de lui une surveillance permanente du niveau de protection de ces données.
Quelles sont les obligations à respecter pour les importateurs ?
S’agissant des obligations pour les importateurs, la Cour souligne dans son arrêt Schrems II qu’il incombe tant à ceux-ci qu’aux exportateurs de veiller au respect du niveau de protection garanti par la législation européenne, et de suspendre les transferts si l’importateur n’est pas (ou plus) en mesure de respecter les clauses incluses dans le contrat.
Le Comité Européen a par ailleurs fourni des recommandations applicables aux importateurs de données américains (voir mon article “How to turn the invalidation of the Privacy Shield into an opportunity” sur ce point) en attendant la publication des nouvelles clauses contractuelles types de la Commission Européenne.
Ceux-ci sont conseillés de renforcer leurs obligations au terme des clauses contractuelles avec les exportateurs européens pour le compte desquels ils traitent des données, des clauses typiquement consignées dans un DPA (« Data Processing Agreement »), en s’engageant à respecter de nouvelles obligations plus poussées que les exigences actuelles de l’article 28(3) du RGPD.
Ils doivent également examiner les mesures techniques et organisationnelles encadrant leurs transferts de données personnelles, et les renforcer en tenant compte de la décision Schrems II.
Enfin, ils ont pour obligation de notifier à l’exportateur toute demande d’accès à des données adressée par le gouvernement du pays tiers, d’en vérifier la légalité, de la contester si nécessaire et le cas échéant, de minimiser les données auxquelles le gouvernement pourra accéder.
Ainsi, suite à l’invalidation du Privacy Shield, les recommandations du CEPD permettent aux exportateurs comme aux importateurs des données de renforcer les mécanismes utilisés pour transférer ces données de manière à être en accord avec le RGPD et à anticiper les nouvelles clauses contractuelles types à venir.
Toutefois, les projets de clauses contractuelles types prévoient une période de grâce d’un an permettant aux entreprises de mettre à jour leurs contrats. Les sociétés parties à des transferts internationaux de données sont encouragées à suivre de près la situation, pour être en mesure de continuer leurs activités de traitement en accord avec le nouvel état du droit en la matière.
Dans cette optique, si vous faites appel à des sous-traitants basés aux États-Unis soumis à des conflits de lois potentiels du fait de leur obligation parallèle de se conformer aux réglementations américaines il serait judicieux de recourir aux services d’ un avocat spécialisé dans ces questions tant en Europe qu’aux États-Unis, qui pourra vous aider dans vos démarches de mise en conformité avec les nouvelles exigences de protection des données européennes tout en réduisant dans la mesure du possible l’impact des législations américaines.
—
Cet article a été écrit avec la collaboration d’Auriane Wilhelm