Invalidation du Privacy Shield : quelle conduite adopter?

Publié le par

Invalidation du Privacy Shield : quelle conduite les entreprises européennes doivent-elles adopter ?

Article mis à jour le 28/11/2020

Par un arrêt majeur de la Cour de Justice Européenne (CJUE) du 16 juillet 2020, le mécanisme du Privacy Shield a été invalidé. Cette décision engendre une situation opérationnelle complexe pour l’ensemble des entreprises européennes, puisqu’en effet, la quasi-totalité d’entre elles ne peuvent aujourd’hui affirmer qu’elles n’opèrent aucun transfert de données personnelles, directement ou indirectement, vers les Etats-Unis ou vers d’autres pays ne bénéficiant pas d’une décision d’adéquation.

Pour répondre aux questions que se posent les responsables de traitement et les sous-traitants établis dans l’Union, le Comité Européen de la Protection des Données (CEPD), le 24 juillet dernier, a rendu publique son analyse préliminaire sous forme de FAQ:  version française des FAQ. Celle-ci  a été complétée par un ensemble de recommandations communiqué le 11 novembre dernier.

A la lumière de ces recommandations, la présente analyse vise à apporter aux entreprises des réponses concrètes sur la conduite à tenir.

En quoi consistait le Privacy Shield et pourquoi a-t-il été invalidé ?

Ce dispositif permettait d’opérer, sans formalité de la part d’un exportateur de données personnelles situé dans l’UE, un transfert de données vers une entreprise américaine, dès lors que celle-ci adhérait au mécanisme d’auto-certification du Privacy Shield. Celui-ci imposait aux entreprises américaines y adhérant de respecter des obligations rigoureuses sur le traitement des données importées.

Cependant, l’accord prévoyait des limitations à la protection des données, notamment du fait des exigences relatives à la sécurité nationale.

La CJUE, dans cet arrêt connu sous le nom de “Schrems II”, était saisie par Maximilan Schrems, défenseur de la protection des données, qui avait déjà obtenu devant cette Cour en 2015 l’invalidation du Safe Harbor, mécanisme prédécesseur du Privacy Shield.

La CJUE a estimé que les limitations précitées, découlant de la réglementation interne des États-Unis et permettant aux autorités publiques américaines d’accéder aux données transférées, n’étaient pas encadrées de manière satisfaisante. Elle a notamment relevé que, pour certains programmes autorisant ces autorités  à mener une surveillance, il n’existait pas de garanties pour les ressortissants européens. C’est ainsi qu’elle a été amenée à invalider le Privacy Shield comme elle avait invalidé Safe Harbour.

Quels transferts de données sont impactés ?

Les transferts de données vers les Etats-Unis sur le fondement du Privacy Shield sont désormais placés dans l’illégalité.
Mais ce ne sont pas les seuls transferts de données hors UE impactés par la décision. Les transferts de données vers les Etats-Unis par le biais des BCR (Binding Corporate Rules ou Règles d’Entreprise Contraignantes) sont également impactés. Le sont également les transferts vers l’ensemble des pays hors UE ne bénéficiant  pas d’une décision d’adéquation, tels que les transferts vers l’Inde, la Chine, la Russie.

Quelle conduite les entreprises doivent-elles adopter et dans quel délai?

Le CEPD a confirmé qu’aucun délai de grâce ne serait octroyé pour la mise en conformité. Ci-après, les étapes d’un transfert de données conforme au principe “d’accountability” tel que recommandé par le CEPD.

La démarche recommandée par le CEPD à mettre en œuvre à travers 6 étapes

Etape 1

Cartographier
  • établir une cartographie des flux de données personnelles impliquant un transfert vers les Etats-Unis, ou vers tout pays hors UE ne bénéficiant pas d’une décision d’adéquation.
  • pour les transferts vers les Etats-Unis, vérifier si, toutes les fois où le transfert était fondé sur le Privacy Shield, le fournisseur a bien basculé sur un autre mécanisme de transfert, en examinant les contrats et les politiques de confidentialité concernés. Pour tous les transferts vers des pays hors UE ne bénéficiant pas d’une décision d’adéquation, identifier et rassembler ces mêmes éléments.
  • identifier les lieux de stockage, lister les outils et applications tierces, demander aux services tiers la communication de leurs transferts de données et la liste de leurs sous-traitants.

Etape 2

IdentifieR le mecanisme de transfert sur lequel vous vous appuyez

Ci-après les principaux mécanismes de transfert détaillés:

  • une décision d’adéquation de la Commission européenne portant sur le pays tiers (ex. Uruguay, Canada, Israël, Argentine, Suisse)
  • des Clauses Contractuelles Type: les Clauses Contractuelles Type constitue un modèle de contrat de transfert de données tels qu’adopté par la Commission européenne. Elles constituent l’un des mécanismes de transfert de données hors UE autorisé par le RGPD et impliquent pour un exportateur de données situé dans l’UE de conclure un contrat avec l’entreprise située hors UE vers laquelle il exporte les données. Ce contrat doit reprendre strictement les termes des CCT. Un nouveau modèle de CCT a été communiqué par la Commission européenne en novembre 2020.
  • BCR: les “Binding Corporate Rules” ou Règles d’Entreprise Contraignantes constituent une politique de protection des données intra-groupe
  • Pour mémoire, une dérogation parmi celles prévues par l’article 49 du RGPD: notez que la dérogation fondée sur un consentement éclairé de la personne concernée n’est envisageable que pour des transferts de données ponctuels.

Etape 3

proceder a une analyse au cas par cas afin de verifier si le mecanisme de tranfert est efficace dans le pays de destination

En tant qu’exportateur de données, il vous appartient de procéder à une analyse au cas par cas. Schématiquement, lorsque vous utilisez le mécanisme des CCT ou des BCR, vous devez vérifier, au cas par cas et en collaboration avec le destinataire du transfert, si le droit du pays tiers de destination assure une protection appropriée des données transférées, en vous appuyant notamment sur une analyse de la législation applicable dans le pays de destination.

Si vous parvenez, au terme de votre analyse, à considérer que le mécanisme de transfert sur lequel vous vous appuyez ne permet pas d’assurer un niveau de protection essentiellement équivalent à celui qui est assuré au sein de l’Union européenne et que vous constatez des lacunes dans le niveau de protection offert par le pays de destination, vous ne pouvez pas procéder au transfert et devez passer à l’étape 4.

Etape 4

evaluer si des mesures complementaires permettent de combler ces lacunes

Il vous appartient d’évaluer si, en fournissant des garanties supplémentaires à celles offertes par les CCT ou les BCR, un niveau adéquat de protection des données est assuré pour le transfert envisagé.

Le CEPD a dressé dans ses recommandations une liste de cas d’usage. ceux-ci permettent de procéder à cette évaluation, en identifiant si l’on se trouve dans un cas où des mesures complémentaires sont susceptibles de permettre de pallier les lacunes identifiées.

Cas d’usage permettant des mesures complémentaires efficaces

  • stockage des données aux fins de “back up” qui ne requièrent pas d’accès aux données en clair
  • transfert de données pseudonymisées
  • données cryptées en transit

Cas ne permettant pas d’apporter des mesures complémentaires efficaces:

  • transfert à un fournisseur de cloud ou à un autre prestataire qui doit accéder aux données en clair
  • accès distant à des données en vue d’activités économiques

Etapes 5 et 6

implementer ces mesures complementaires et reevaluer regulierement leur efficacite

Pour en savoir plus sur le détail des mesures techniques, juridiques ou organisationnelles, il convient de se reporter aux recommandations du CEPD. Devant la complexité de l’analyse à mener, il se peut que vous ayez besoin de vous faire accompagner. Le cabinet Aurele IT est à votre disposition pour vous accompagner sur les évaluations à mener et les mesures à mettre en œuvre.

Quel que soit le mode de transfert que vous avez utilisé et les mesures additionnelles que vous avez mises en œuvre, il conviendra de les documenter et de réévaluer régulièrement leur efficacité.

une alternative: Privilégier des solutions souveraines

Si vous devez encore faire le choix d’un fournisseur de services (hébergeur, data center, messagerie électronique etc. ) ou si vous êtes en mesure de basculer vers un nouveau fournisseur, privilégier les solutions souveraines (européennes). Le critère est celui de la localisation de la société qui exploite  le cloud ou le service, ce n’est pas l’emplacement du serveur de cloud, contrairement à ce que voudraient nous faire croire certains fournisseurs notamment américains. 

Quelles sont les sanctions applicables ?

Si des données sont transférées sans cadre légal, les responsables de traitement ou sous-traitants s’exposent aux sanctions administratives habituelles posées par le RGPD, pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial du groupe, auxquelles s’ajoutent en cas d’action en réparation intentée par les personnes concernées, l’obligation de réparer le préjudice subi par elles.

Des sanctions pénales sont également encourues. En France, le fait de procéder ou de faire procéder à un transfert illégal de données personnelles vers un Etat n’appartenant pas à l’Union européenne  en violation du chapitre V du RGPD ou des articles 112 à 114 de la loi n° 78-17 du 6 janvier 1978 est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende aux termes de l’article 226-22-1 du Code Pénal.

A date, aucune sanction n’a été appliquée par la CNIL du fait d’un manquement au nouveau mode de transfert prescrit depuis l’arrêt Schrems II. Toutefois les sanctions prononcées par la CNIL en novembre 2020 à l’encontre de deux sociétés du groupe Carrefour, dont l’une à hauteur de plus de 2 M€,  laissent présager un alourdissement des sanctions pour non conformité au RGPD de manière générale.

Le cabinet Aurele IT est à votre disposition pour vous accompagner sur l’évaluation de votre conformité et les démarches à accomplir. N’hésitez pas à m’adresser vos questions ou commentaires à .

Florence IVANIER, Avocat Associé – DPO