L’invalidation du Privacy Shield et l’incertitude autour des transferts de données vers les Etats-Unis

Max Schrems a encore frappé !

Déjà à l’initiative de la chute du Safe Harbor (« Affaire Schrems », CJUE 6 oct. 2015, aff. C-362/14), le jeudi 16 juillet 2020, le désormais célèbre activiste autrichien, Maximilian Schrems, a une nouvelle fois obtenu gain de cause auprès de la Cour de Justice de l’Union Européenne (CJUE 16 juill. 2020, DPC c. Facebook Ireland Ltd et M. Schrems, aff. C-311/18). Comme en 2015, la CJUE a invalidé la décision d’adéquation du « Bouclier de Protection des Données Union Européenne – États-Unis » (aussi appelé « Privacy Shield ») adoptée par la Commission européenne le 12 juillet 2016.

#Data #Transferts #RGPD #CJUE #Schrems #Facebook  #SafeHarbor #PrivacyShield #UE #EU #Entreprises

Depuis 2016, ce dispositif de « Bouclier » permettait à certaines entreprises américaines (auto-certifiées par l’Administration américaine) de transférer des données à caractère personnel en garantissant à leurs clients européens un niveau de protection équivalent à celui instauré dans l’Union Européenne par le Règlement Général sur la Protection des Données (RGPD).

Cela est désormais révolu puisque la CJUE vient d’invalider ce mécanisme, jugeant les garanties de protection des données insuffisantes et particulièrement friables face à l’arsenal législatif américain consacré à la surveillance nationale et extraterritoriale, dont le FISA (Foreign Intelligence Surveillance Act) et le CLOUD Act (Clarifyng Lawful Overseas Use of Data Act) sont les principales armes.

La Cour a conclu que le niveau de protection accordé par le système américain aux ressortissants européens en matière de données à caractère personnel n’est pas adéquat au sens du RGPD. Pour elle, « le droit de ce pays tiers ne prévoit pas les limitations et les garanties nécessaires à l’égard des ingérences autorisées par sa règlementation nationale et n’assure pas non plus une protection juridictionnelle effective contre de telles ingérences (168) ».

Cette décision risque donc d’avoir de lourdes conséquences pour les plus de trois mille entreprises américaines qui jouissaient de ce dispositif mais également pour les centaines de milliers d’entreprises européennes qui exploitent quotidiennement les services numériques de ces entreprises américaines, parmi lesquelles figurent les géants Google, Microsoft ou encore Amazon.

Sans ce dispositif d’adéquation, les entreprises françaises et européennes vont devoir rapidement repenser leur fonctionnement et avoir recours à d’autres dispositifs d’encadrement de leurs transferts de données hors UE, conformément au Chapitre V du RGPD. Sans cela, elles se trouveront dans une situation de profonde insécurité juridique, chaque traitement de données confié à une société américaine devenant par la même occasion illégal.

Bien que prévisible, cet arrêt a donc eu l’effet d’une petite bombe sur l’écosystème du webservice, notamment lorsque l’on connait la place qu’y tiennent aujourd’hui les géants du web américains.

« OK Google, maintenant comment sécurises-tu mes transferts de données vers les Etats-Unis ? …»

La première chose à faire pour les entreprises européenne (hormis quitter le navire des GAFA, ça c’est un autre sujet J), c’est de se rapprocher de chacun de leurs prestataires américains et de les interroger sur leurs nouvelles garanties appropriées pour encadrer les transferts de données. Bien évidemment, la plupart (pas tous malheureusement, donc prudence) des grands acteurs ont réagi rapidement à l’invalidation du Privacy Shield en communicant auprès de leurs clients et en proposant la signature d’une Clause contractuelle Type de la Commission européenne. A titre d’exemple, c’est le cas de Google Cloud.  En revanche, la conclusion d’une telle clause contractuelle type (« Standard Contractual Clauses ») avec Google n’est pas automatique. Tout client ayant souscrit aux services de Google avant le 10 août 2020 devra de nouveau valider un document contractuel avec la firme américaine. Si ce n’est pas fait, vous pouvez trouver ce document ici et la démarche pour sa validation ici.

Cela est valable pour tout autre service fourni par un prestataire identifié comme « sous-traitant de données » au sens du RGPD et basé aux Etats-Unis, qu’il soit hébergeur, éditeur de logiciel de paie en SaaS, service de paiement en ligne pour site e-commerce, etc.

Pour en savoir plus sur les garanties appropriées pour encadrer vos transferts de données hors UE, vous pouvez également vous reporter à notre article sur le Brexit et les transferts de données à caractère personnel.

Avoconseil, au travers de son offre Avodata, reste à votre écoute et se tient prêt à vous accompagner dans l’ensemble de vos démarches RGPD.