- Le blog et les actualités de Witik
- Invalidation du Privacy Shield, what’s next ?
Invalidation du Privacy Shield, what’s next ?
Saisie dans le cadre de l’affaire Schrems II, la Cour de Justice de l’Union Européenne a, dans un arrêt rendu le 16 juillet 2020, invalidé le Privacy Shield, encadrant les transferts de données personnelles entre l’Union européenne et les États-Unis. Une décision historique et non sans conséquences, ayant suscité de vives réactions dans le domaine de la protection des données.
Les faits.
Maximilien Schrems s’engage dans une bataille contre Facebook lorsqu’il découvre que les services secrets américains ont accès à toutes les données des grandes plateformes de réseaux sociaux. La première victoire de ce célèbre activiste, remonte au mois d’octobre 2015 lorsqu’il obtient l’invalidation du Safe Harbor, considéré comme l’ancêtre du Privacy Shield. En effet, après avoir vu sa demande rejetée par le Data Protection Commissioner (commission de protection des données irlandaise) au motif que le Commission européenne avait validé le Safe Harbor dans sa décision 2000/520, Maximilien Schrems saisit la Cour Suprême irlandaise qui a alors interrogé la CJUE par renvoi préjudiciel. La Cour avait, par sa décision, annulé le Safe Harbor au motif qu’il ne permettait pas d’assurer un niveau de sécurité adéquat.
A la suite de cette décision et de l’enquête menée par le DPC auprès de Facebook Ireland, Maximilien Schrems, informé que la plupart des transferts opérés vers les Etats-Unis étaient encadrés par les clauses contractuelles types de la Commission européenne, assurait que cela était toujours insuffisant. Pourquoi ? Parce ces clauses n’engagent pas les autorités américaines. Saisie une nouvelle fois par la Cour Suprême irlandaise, d’une série de onze questions, la CJUE s’est penchée sur trois grands points, à savoir : le niveau de protection du Privacy Shield, le niveau de protection des résidents européens dont les données sont traitées aux États-Unis et enfin le niveau de protection des clauses contractuelles types.
La décision de la CJUE.
Dans son arrêt du 16 juillet 2020, la Cour a jugé insuffisant le niveau de protection des résidents européens dont les données sont traitées aux États-Unis ainsi que le niveau de protection apporté par le Privacy Shield.
Après avoir constaté l’accès des autorités publiques américaines aux données personnelles à des fins de sécurité nationale, notamment grâce au Foreign Intelligence Surveillance Act (FISA) et l’Executive Order (E.O.) (programmes permettant aux agences de renseignement d’accéder et de traiter des données incluant celles de résidents européens), un non-respect des exigences requises par le droit de l’UE mais aussi l’absence de recours des personnes concernées devant les juridictions contre les autorités américaines, force était de constater que le Privacy Shield ne suffisait pas à corriger ces écarts.
Pour ce qui concerne le niveau de protection des clauses contractuelles types, la Cour, bien qu’ayant validé ces clauses, a apporté quelques précisions. Selon elle et conformément à l’article 44 du RGPD, le niveau de protection des personnes physiques garanti par le RGPD ne doit en aucun cas être compromis. Autrement dit, le niveau de protection des données transférées doit être équivalent à celui assuré au sein de l’Union européenne.
Pour reprendre l’exemple des Etats-Unis et des problèmes soulevés tels que, l’ingérence des agences de surveillance et l’absence de recours des personnes concernées, il est évident que les clauses contractuelles types ne permettent pas d’y remédier puisqu’elles n’entrainent aucune obligation pour les autorités du pays destinataire.
Cependant, la décision adoptant ces clauses ne sera pas annulée au motif qu’elles peuvent être complétées par d’autres mesures comme le prévoit l’article 46 du RGPD. Ce sera donc à l’exportateur d’analyser le niveau de protection fourni par le pays tiers en se penchant sur la législation et les pratiques en vigueur et d’apporter ou non des garanties supplémentaires à celles offertes par les clauses.
What’s next ?
Il y a deux hypothèses. La première concerne les transferts vers les pays membres de l’Union européenne ainsi que les pays reconnus comme apportant un niveau de sécurité adéquat et là, il n’y a pas d’obstacle. En effet, le transfert vers un pays reconnu comme offrant un niveau de protection adéquat peut être effectué comme s’il s’agissait d’un transfert mis en œuvre au sein de l’Espace économique européen.
La deuxième hypothèse concerne les transferts effectués vers un pays reconnu comme non adéquat. Dans ce cas, l’exportateur devra, en plus d’encadrer le transfert par un outil type clauses contractuelles types, BCR ou certification, analyser le niveau de protection du pays tiers, ajouter des garanties supplémentaires si nécessaire et réévaluer régulièrement le niveau de protection des données transférées.
En d’autres termes, si l’outil suffit à apporter un niveau de sécurité adéquat, le transfert pourra être effectué. Autrement, l’exportateur devra ajouter des mesures supplémentaires. Si ces mesures suffisent à corriger l’écart, le transfert pourra être mis en œuvre. Autrement, il devra être suspendu, s’il en cours, ou ne pas être mis en œuvre s’il n’est pas encore initié. Pour ce qui concerne les transferts en cours vers les États-Unis, l’exportateur se doit de vérifier que le cocontractant n’est pas concerné par les lois autorisation l’accès aux données à des agences nationales et si c’est le cas, remplacer le Privacy Shield par un autre outil d’encadrement.
Autrement, il faudra suspendre les transferts pour lesquels les garanties de protection ne sont pas suffisantes.
Le but ?
Pousser et encourager les exportateurs à avoir recours à des sous-traitants établis au sein de l’Union européenne, éviter les transferts vers les pays ne bénéficiant pas d’une décision d’adéquation et les pays dont les lois nationales permettent l’accès aux données des résidents européens à des agences étatiques.
L’actualité suite à cette décision
Publication des recommandations, adoptées par le Comité européen de la protection des données le 18 juin, concernant les garanties supplémentaires pouvant être mises en œuvre afin assurer un niveau de sécurité adéquat aux données personnelles.
Publication le 4 juin dernier, des nouvelles clauses contractuelles types par la Commission européenne. Un modèle est applicable aux transferts de données vers des pays tiers à l’Union européenne, l’autre aux relations entre un responsable du traitement et un sous-traitant situés au sein de l’UE.
Le transfert des données est un sujet qui vous intéresse ? Nous avons créé un livre blanc, pour que vous soyez incollable !
