Invalidation du Privacy Shield : Que doit faire votre organisme ?

5 octobre 2020

Accueil | Actualités
Autorités de contrôle, Droit Européen, Privacy Shield

Article rédigé par:

Amina Khaoua, Avocate aux barreaux de Versailles et Québec et
Corentin Dal Pra, Consultant en protection des données, MGSI sàrl

Le 16 juillet 2020, la Cour de Justice de l’Union Européenne (CJUE) a rendu son très attendu arrêt “Schrems II”, dans lequel elle invalide le bouclier de protection des données dit Privacy Shield. Ce cadre permettait le transfert des données personnelles (commerciales, de santé, RH, etc) entre le territoire de de l’Union européenne (y compris l’Espace Economique Européen – (EEE)) et les entreprises établies aux Etats-Unis ayant adhéré au dispositif, sans nécessiter de garantie supplémentaire pour la protection de la vie privée des personnes physiques, telle que le permet une décision d’adéquation.[1]

La CJUE a considéré que les exigences du droit américain et en particulier certains programmes permettant l’accès des autorités publiques américaines, à des fins de sécurité nationale, aux données personnelles transférées de l’UE vers les Etats-Unis, entraînent des limitations de la protection des données personnelles, qui de surcroît ne confèrent pas aux personnes concernées des droits opposables aux autorités américaines devant les Tribunaux.  

Quels sont les conséquences de cet arrêt ?

La décision de la CJUE s’applique à tout transfert vers les États-Unis par voie électronique qui relève du champ d’application de cette législation, quel que soit l’outil utilisé pour le transfert.

Désormais, les transferts effectués sur la base du Privacy Shield sont illégaux.

Dès lors, peut-on utiliser les clauses contractuelles types (CCT) de la Commission européenne pour les transferts de données vers les États-Unis ?

Dans son arrêt Shrems II, la CJUE a validé ces clauses.

Toutefois, pour que ces clauses entourant le transfert soient valides, cela dépendra du résultat de l’évaluation qui tiendra compte des circonstances des transferts et des mesures supplémentaires que l’entreprise pourrait mettre en place. Après une analyse au cas par cas des circonstances entourant le transfert, les clauses et les mesures supplémentaires devront garantir que la législation américaine ne compromette pas sur le niveau de protection adéquat que les clauses garantissent.

Or, compte tenu de la décision de la CJUE sur la règlementation américaine, les clauses contractuelles ne semblent pas offrir une solution satisfaisante pour transférer des données vers les États-Unis.

Les autres instruments de garantie comme les règles d’entreprise contraignante (REC) pourraient subir le même sort à terme sans adaptation de la législation américaine

Le Comité européen de la protection des données tente présentement de déterminer le type de mesures complémentaires qui pourraient être fournies en plus des CCT et BCR pour transférer des données vers les pays tiers.

Quels outils sont utilisés aujourd’hui pour transférer des données de l’EEE vers les États-Unis ?

La seule possibilité restante est d’effectuer des transferts de données sur les dérogations prévues à l’article 49 du RGPD (consentement, base contractuelle, etc.).

Il est essentiel de revoir les contrats avec ses sous-traitants en signant un avenant dans lequel il doit être stipulé qu’ils stockent et administrent vos données sur un territoire autre que les États-Unis et pouvant garantir un protection adequate à ces données personnelles.

Il ne faut pas oublier que le Royaume-Unis et l’Irlande du Nord sont en cours de sortie de l’Union européenne et que les négociations en cours semblent démontrer qu’ils ne feront pas partie de l’EEE. Ils seront considérés, dans ce cas, comme pays tiers.

Attention, la CJUE n’a accordé aucun délai de grâce pendant lequel les entreprises peuvent continuer à transférer des données aux États-Unis. Ainsi, tous les transferts doivent cesser.

D’ailleurs, l’application de cette décision ne s’est pas fait attendre. L’autorité de contrôle irlandaise a, le 10 septembre dernier, fait injonction à Facebook de suspendre tout transfert des données de ses utilisateurs européens vers les États-Unis. (Source : https://www.lesechos.fr/tech-medias/hightech/la-cnil-irlandaise-demande-a-facebook-de-suspendre-ses-transferts-de-donnees-vers-les-etats-unis-1241190).

Facebook (en l’espèce) ou tout organisme qui continuerait à effectuer les transferts de données de l’UE vers les Etats-Unis peut se voir imposer une amende administrative d’un montant de 20 millions d’euros ou 4% du chiffre d’affaire annuel mondial.[2] Au-delà de l’amende administrative, les entités peuvent se voir interdire le traitement de données personnelles, ce qui dans certains cas peut être plus contraignant qu’une amende.

Par où commencer ?

Afin de vérifier si votre organisme est impacté par cette décision, voici une liste de questions pratiques à laquelle vous devrez répondre afin de rester conforme aux exigences du RGPD et de la décision de la CJUE :

  1. Vérifiez tous les traitements consignés dans votre registre de traitements afin de vérifier si vous transférez des données personnelles vers les États-Unis :
    1. Vos sous-traitants, partenaires ou tiers sont-ils établis aux USA ?
    1. Où sont situés vos serveurs ? (CRM, hébergeur de site web) ?
    1. Avez-vous recours à un Cloud ?
    1. Attention aux cookies et outils de marketing qui sont souvent opérés par Google, Amazon etc. dont les lieux d’hébergement sont répartis dans le monde (Google a notamment des data centres en Europe)
    1. Attention : si votre registre n’est pas à jour, veillez à vérifier si vous n’avez pas de nouveaux transferts vers les E-U, de nouveaux sous-traitants.
    1. Important : si Les données personnelles transférées sont anonymisées, le RGPD ne s’appliquera pas mais si elles sont pseudonymisées, le RGPD s’applique puisqu’il est possible de réidentifier les personnes concernées.
  • Pour chaque traitement concerné (transfert vers les États-Unis), vérifiez les garanties appropriées pour les droits et libertés des personnes concernées :
    • Si vous n’avez pas mis en place de mesures particulières (ex. contrat, convention de protection des données ou “Data Processing Agreement”), le transfert doit être suspendu.
    • Si vous avez un contrat avec votre sous-traitant, il faut vérifier les clauses concernant les transferts et amender si besoin. Notons que l’art 46.3 permet moyennant l’autorisation de l’autorité de contrôle compétente la possibilité de fournir les garanties appropriées sous formes de clauses contractuelles sui generis (société commerciale) ou arrangements administratif (autorité publique) : le contrat primaire doit être revu et inclure des clauses respectant les principes, droits et obligations en matière contractuelle (ex. code civil, lois nationales et internationales) et en protection des données (RGPD, E-privacy, NIS , etc).
  • Si le transfert est « occasionnel et non-répétitif » (ex. une réservation d’hôtel aux Etats-Unis) il est possible de transférer des données dans le cadre d’un contrat ou si le consentement de la personne concernée est donné (= régime dérogatoire de l’art 49).
  • Revoir les politiques et informations à disposition des clients et/ ou employés :
    • Opérez les changements nécessaires pour que votre nouvelle situation concorde avec les informations données (ex. nouvelles localisations des serveurs, nouveau sous-traitant européen, mise en place de contrats etc.)
    • Informez les personnes concernées (ex. mettre à jour vos politiques de confidentialité et autres déclarations de cookies).

Veuillez noter que les GAFAM disposent de data centres situés au sein de l’UE. Il serait judicieux de suggérer que les données personnelles des entreprises situées sur le territoire de l’union soient conservées sur ce même territoire (clause de territorialité – ratione loci en droit des contrats).


[1] Article 45 RGPD

[2] Article 83 RGPD

Référentiel sur les notions de responsable de traitement et sous-traitant
En REPLAY – Webinaire sur les impacts du RGPD pour les sociétés hors UE