Qu’est-ce que le Privacy Shield ?
Le Privacy Shield est le mécanisme mis en place par la décision de la Commission européenne en date du 12 juillet 2016 selon laquelle les données personnelles des résidents européens (destinées à être transférées aux États-Unis, dans le cadre d’une relation contractuelle commerciale) bénéficieront d’une protection équivalente à celle prévue par le RGPD.
Dans quel contexte le Privacy Shield a été invalidé par la CJUE ?
Dans le cadre d’un litige opposant l’autorité de la protection des données irlandaise à Facebook et à Max Schrems au sujet d’une plainte introduite par celui-ci concernant le transfert de ses données personnelle par Facebook aux États-Unis, la Cour de justice de l’union européenne (CJUE) se prononce sur l’invalidation du Privacy Shield. Max Schrems avait déjà obtenu auprès de la CJUE le 6 Octobre 2015 l’invalidation du précédent mécanisme adopté par la Commission européenne sur le sujet du transfert des données personnelles aux États-Unis dit « Safe Harbor ».
Selon la CJUE, les données transférées aux États-Unis initialement dans le cadre d’une relation commerciale sont susceptibles d’être ensuite traitées par les autorités américaines à des fins de sécurité nationale mais également de maintien de l’ordre public (la section 702 du FISA et l’Executive Order 12333) et de conduite des affaires étrangères. La CJUE confirme dans son arrêt C‑311/18 que le droit américain et notamment les dispositifs permettant l’accès des autorités américaines aux données personnelles entraînent des limitations de la protection des données (voir le considérant 111 de l’arrêt de la Cour). En l’absence d’une protection adéquate la CJUE prononce l’invalidation du Privacy Shield dans son arrêt C‑311/18 – « SCHREMS II ».
Quelle est la conséquence de l’arrêt C 311/18 ?
A l’issue de l’arrêt de la CJUE, les transferts des données personnelles basés sur le Privacy Shield ne sont plus valides et sont considérés comme « illégaux ». L’invalidation est immédiatement applicable et il n’y aucun délai de grâce pendant lequel l’organisme privé peut continuer à transférer des données aux États-Unis sur cette base.
Les organismes qui continuent à transférer illégalement s’exposent à des amendes pouvant atteindre 20 millions d’euros ou 4 % de leur chiffre d’affaires mondial. L’autorité de contrôle compétente a le pouvoir également d’interdire ou de suspendre le transfert en application de l’article 58-2 sous f et J du RGPD.
Quels sont les mécanismes alternatifs permettant le transfert des données personnelles aux États-Unis ?
En l’absence du Privacy Shield, les organismes souhaitant continuer à transférer les données personnelles aux États-Unis doivent mettre en place des dispositifs alternatifs assurant une protection équivalente :
- Les clauses contractuelles types
La CJUE valide dans son arrêt C‑311/18 la décision 2010/87/CE du 5 février 2010 de la Commission européenne relative aux clauses contractuelles types dit « CCT ». Ces clauses prévoient les mécanismes permettant de suspendre ou d’interdire les transferts des données personnelles en cas de violation de ces clauses ou d’impossibilité de les respecter. Elles ne lient pas les autorités américaines.
En effet, les parties contractantes (l’organisme exportateur et le destinataire des données établi aux États-Unis) ont l’obligation de vérifier, préalablement à tout transfert, en prenant en compte les circonstances du transfert et les mesures supplémentaires qu’ils sont prêts à mettre en place, si un niveau de protection adéquate sera respecté dans le pays tiers concerné. Il s’agit dans la mesure du possible et à titre d’exemple de chiffrer les données, de les rendre indirectement identifiant (pseudonymisation), etc. Ces mesures supplémentaires sont destinées à garantir que la législation américaine n’affecte pas le niveau de protection adéquate exigé pour le transfert des données. Nous attendons l’analyse approfondie de la décision par le CEPD notamment sur les mesures supplémentaires destinées à mettre en place. Par ailleurs, l’importateur des données est tenu d’informer sa partie contractante (l’exportateur des données) de toute incapacité à se conformer aux clauses types de protection des données et, le cas échéant, à toute mesure complémentaire à celles prévues par les clauses. Cette information permet à l’exportateur de suspendre et/ou de résilier le contrat.
A l’issue de l’évaluation des risques et au regard du contexte du transfert et des mesures supplémentaires mises en place assurant une protection adéquate, les deux parties peuvent conclure les CCT. A défaut d’une telle protection, le transfert devra être suspendu voire interdit. Compte tenu des circonstances particulières liées à chaque transfert, une analyse au cas par cas s’impose.
- Les BCR
Le recours à des éventuelles règles d’entreprise contraignantes dit « BCR » nécessitera également une évaluation préalable des circonstances du transfert et les risques compromettant une protection adéquate des données personnelles.
- Les dérogations prévues à l’article 49 du RGPD
A défaut des mécanismes ci-dessus mentionnés, le transfert peut être basé sur l’une des dérogations prévues à l’article 49 du RGPD à savoir le consentement explicite de la personne concernée, la nécessité de l’exécution d’un contrat entre la personne concernée et le responsable de traitement ou un contrat conclu dans l’intérêt de la personne concernée, le motif d’intérêt public, la sauvegarde des intérêts vitaux, etc.
En l’absence des des garanties approprié en application de l’article 46 du RGPD et des mesures supplémentaires assurant une protection adéquate, voire des dérogations au titre de l’article 49, le transfert des données personnelles aux États-Unis restera interdit.
