Invalidation du Privacy Shield : quelle conduite adopter?

Invalidation du Privacy Shield : quelle conduite les entreprises européennes doivent-elles adopter ?

Par un arrêt majeur de la Cour de Justice Européenne (CJUE) du 16 juillet 2020, le mécanisme du Privacy Shield a été invalidé. Cette décision, bien qu’elle n’ait pas surpris les acteurs de la protection des données, engendre une situation opérationnelle complexe pour l’ensemble des entreprises européennes, puisqu’en effet, la quasi-totalité d’entre elles ne peuvent aujourd’hui affirmer qu’elles n’opèrent aucun transfert de données personnelles, directement ou indirectement, vers les Etats-Unis ou vers d’autres pays ne bénéficiant pas d’une décision d’adéquation.

Pour répondre aux questions que se posent les responsables de traitement et les sous-traitants établis dans l’Union, le Comité Européen de la Protection des Données (CEPD), le 24 juillet dernier, a rendu publique son analyse préliminaire sous forme de FAQ: analyse disponible en version anglaise FAQ du CEPD  et française version française des FAQ. Celle-ci sera complétée ultérieurement par une analyse approfondie des conséquences de la décision.

A la lumière de ces réponses, les présents commentaires visent à apporter aux entreprises des réponses concrètes sur la conduite à tenir.

En quoi consistait le Privacy Shield et pourquoi a-t-il été invalidé ?

Ce dispositif permettait d’opérer, sans formalité de la part d’un exportateur de données personnelles situé dans l’UE, un transfert de données vers une entreprise américaine, dès lors que celle-ci adhérait au mécanisme d’auto-certification du Privacy Shield. Celui-ci  imposait aux entreprises américaines y adhérant de respecter des obligations rigoureuses sur le traitement des données importées.

Cependant, l’accord prévoyait des limitations à la protection des données, notamment du fait des exigences relatives à la sécurité nationale.

La CJUE, dans cet arrêt connu sous le nom de « Schrems II », était saisie par Maximilan Schrems, défenseur de la protection des données, qui avait déjà obtenu devant cette Cour en 2015 l’invalidation du Safe Harbor, mécanisme prédécesseur du Privacy Shield.

La CJUE a estimé que les limitations précitées, découlant de la réglementation interne des États-Unis et permettant aux autorités publiques américaines d’accéder aux données transférées, n’étaient pas encadrées manière satisfaisante. Elle a notamment relevé que, pour certains programmes autorisant ces autorités  à mener une surveillance, il n’existait pas de garanties pour les ressortissants européens. C’est ainsi qu’elle a été amenée à invalider le Privacy Shield comme elle avait invalidé Safe Harbour.

Quels transferts de données sont impactés ?

Les transferts de données vers les Etats-Unis sur le fondement du Privacy Shield sont désormais placés dans l’illégalité.
Mais ce ne sont pas les seuls transferts de données hors UE impactés par la décision. Les transferts de données vers les Etats-Unis par le biais des BCR (Binding Corporate Rules ou Règles d’Entreprise Contraignantes) sont également impactés. Le sont également les transferts vers l’ensemble des pays hors UE ne bénéficiant pas d’une décision d’adéquation, tels que les transferts vers l’Inde, la Chine, la Russie.

Quelle conduite les entreprises doivent-elles désormais adopter et dans quel délai?

Une liste non exhaustive de mesures à mettre en œuvre sans délai et à court/ moyen terme est fournie ci-après.

Mesures à entreprendre sans délai

Cartographier
  • établir une cartographie des flux de données personnelles impliquant un transfert vers les Etats-Unis, ou vers tout pays hors UE ne bénéficiant pas d’une décision d’adéquation.
  • pour les transferts vers les Etats-unis, vérifier s’ils sont fondés sur le Privacy Shield ou sur un autre fondement juridique, en examinant les contrats et les politiques de confidentialité concernés. Pour tous les transferts vers des pays hors UE ne bénéficiant pas d’une décision d’adéquation, identifier et rassembler ces mêmes éléments.
  • identifier les lieux de stockage, lister les outils et applications tierces, demander aux services tiers la communication de leurs transferts de données et la liste de leurs sous-traitants.
Privilégier des solutions alternatives
  • si vous devez encore faire le choix d’un fournisseur de services (hébergeur, data center, messagerie électronique etc. ) ou si vous êtes en mesure de changer de fournisseur, privilégier les solutions européennes

Mesures à mettre en œuvre une fois connue l’analyse définitive du CEPD

Le CEPD a indiqué qu’aucun délai de grâce ne serait octroyé pour la mise en conformité. Il semble toutefois opportun de rester à l’écoute de sa position qui devrait être communiquée prochainement. D’ores et déjà, un certain nombre d’éléments sont confirmés sur les mesures à mettre en œuvre.

Adopter ou maintenir les Clauses Contractuelles Type (CCT) sous certaines conditions

Les Clauses Contractuelles Type constitue un modèle de contrat de transfert de données tels qu’adoptés par la Commission européenne. Elles constituent l’un des mécanismes de transfert de données hors UE autorisé par le RGPD et impliquent pour un exportateur de données situé dans l’UE de conclure un contrat avec l’entreprise située hors UE vers laquelle il exporte les données. Ce contrat doit reprendre strictement les termes des CCT.

Il est possible sous certaines conditions détaillées ci-dessous, d’adopter des CCT en remplacement des transferts opérés précédemment via le Privacy Shield. Les autres transferts de données qui étaient précédemment opérés via des CCT peuvent également être maintenus, sous réserve du respect de ces mêmes conditions.

La CJUE indique que les CCT reposent sur la responsabilisation de l’exportateur de données (qu’il soit responsable de traitement ou sous-traitant), à charge pour ce dernier de vérifier, au cas par cas et en collaboration avec le destinataire du transfert, si le droit du pays tiers de destination assure une protection appropriée des données transférées, en fournissant, au besoin, des garanties supplémentaires à celles offertes par ces clauses, afin d’assurer un niveau adéquat de protection des données.

Le CEPD devrait apporter sous peu de plus amples informations sur le type de mesures supplémentaires à mettre en place, qu’elles soient juridiques, techniques, ou organisationnelles (ex. chiffrement de bout en bout).

Opérer des transferts dans le cadre des dérogations posées par l’article 49 du RGPD

Certains commentateurs ont évoqué la possibilité d’opérer des transferts de données en remplacement du fondement juridique du Privacy Shield dans le cadre des dérogations posées par l’article 49 du RGPD,  Ces dispositions permettent en effet d’opérer un transfert de données hors UE essentiellement sur la base de deux fondements juridiques: (i) le consentement de la personne concernée ou (ii) la nécessité du transfert pour l’exécution d’un contrat ou pour la mise en œuvre de mesures précontractuelles. Cette solution nous paraît cependant impraticable.  Ces bases légales ne permettent pas d’opérer des transferts systématiques et ne peuvent donc pas servir de fondement légal en substitution à celui du Privacy Shield.

En effet, pour rappel:

  • Le consentement : doit être spécifique, éclairé et univoque et la personne concernée doit le donner après avoir pleinement été informée des risques que ce transfert pouvait comporter en raison de l’absence de  garanties appropriées. De plus, le consentement doit être spécifiquement donné pour chaque transfert. Il ne paraît pas envisageable d’obtenir un consentement préalable pour un futur transfert dont les circonstances particulières ne sont pas entièrement connues et à fortiori pour des transferts systématiques.
  • L’exécution d’un contrat ou mise en œuvre de mesures précontractuelles : les transferts en vertu de cette dérogation peuvent uniquement avoir lieu lorsque le transfert est occasionnel, ce qui ne peut s’inscrire dans le cadre de relations stables entre l’exportateur et l’importateur de données ou du déroulement normal des opérations de l’exportateur de données.

Quelles sont les sanctions applicables ?

Si des données sont transférées sans cadre légal, les responsables de traitement ou sous-traitants s’exposent aux sanctions administratives habituelles posées par le RGPD, pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial du groupe, auxquelles s’ajoutent en cas d’action en réparation intentée par les personnes concernées, l’obligation de réparer le préjudice subi par elles.

Des sanctions pénales sont également encourues. En France, le fait de procéder ou de faire procéder à un transfert illégal de données personnelles vers un Etat n’appartenant pas à l’Union européenne  en violation du chapitre V du RGPD ou des articles 112 à 114 de la loi n° 78-17 du 6 janvier 1978 est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende aux termes de l’article 226-22-1 du Code Pénal.

Le cabinet Aurele IT est à votre disposition pour vous accompagner sur l’évaluation de votre conformité et les démarches à accomplir. N’hésitez pas à m’adresser vos questions ou commentaires à .

Florence IVANIER, Avocat Associé – DPO