RGPD et Transferts de Données : fin du Privacy Shield – quels impacts ?

Coup de Tonnerre dans le domaine de la Protection de Données Personnelles : la Cour de justice de l’Union européenne (ci-après la “CJUE“‘) a publié, le 16 juillet 2020, son arrêt très attendu dans l’affaire Data Protection Commissioner c.Facebook Ireland Limited, Maximillian Schrems (C-311/18) ( «l’affaire Schrems II»).

En particulier, la CJUE a déclaré invalide la décision de la Commission européenne sur le bouclier de protection des données UE-États-Unis et, bien que la CJUE ait confirmé l’utilisation des clauses contractuelles types (CCT), elle a clarifié les considérations que les organisations et les autorités devraient garder à l’esprit s’il est utilisé comme mécanisme de transfert de choix.

La CJUE a estimé que les exigences du droit américain, et en particulier certains programmes permettant l’accès des autorités publiques américaines aux données personnelles transférées de l’UE vers les États-Unis à des fins de sécurité nationale, entraînent des limitations de la protection des données personnelles qui ne sont pas circonscrites de manière à satisfaire à des exigences essentiellement équivalentes à celles requises par le droit de l’UE, et que cette législation n’accorde pas aux personnes concernées des droits de recours devant les juridictions contre les autorités américaines (la CJUE souligne que certains programmes de surveillance permettant l’accès des autorités publiques américaines aux données personnelles transférées de l’UE vers les États-Unis à des fins de sécurité nationale ne prévoient aucune limitation du pouvoir conféré aux autorités américaines, ni l’existence de garanties pour les personnes potentiellement ciblées non américaines).

De manière générale, les avocats spécialisés ne sont pas surpris. Les Entreprises, elles, si! Les différentes autorités de contrôle Européenne sont désormais sommées de réagir, et vite.

Pour les entreprises aussi, la réaction doit être rapide sous peine d’être hors-la-loi (ce qui est déjà le cas, en fait, depuis le 16 juillet !).

En attendant les règles et recommandations de la CNIL, voici un rapide aperçu des impacts :

• Plus aucun transferts de données vers les USA ne peut se prévaloir du Privacy Shield comme bouclier protecteur pour les Données Personnelles de citoyens Européens
• Si ces données sont transférer vers des filiales au sein d’un même groupe, les “BCR” (Binding Corporate Rules, ou Règles d’entreprise contraignantes) sont devenues une priorité
• Si les moyens de l’entreprise le permettent, faire réaliser des BCR standardisées et y faire adhérer (ou pas!) les entreprises. Quitte à changer de fournisseurs
• Les Clauses Contractuelles Types (ou CCT) seront plus faciles à apppliquer
• Google Analytics sur votre site internet, c’est terminé (pour l’instant) : toutes les données personnelles transitent vers les USA !
• en Allemagne, ce sont les régions qui prennent les choses en main : le Bade-Württemberg a publié des lignes directrices (respect de l’Article 49 à la lettre, checklist complète pour les CCT, identification et information des prestataires concernés), Berlin aussi (moins pragmatique mais très claire : aux entreprises placées sous sa supervision, Berlin demande de passer à des fournisseurs de service de l’UE – immédiatement)
• Les instruction sont très claires : pour transférer des données personelles vers les USA, il est nécessaire de signer des CCT, de proposer des garanties supplémentaires.
• l’Article 49 https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre5#Article49 est donc à respecter scrupuleusement
• les GAFAM devraient rapidement proposer leurs propres CCT; à surveiller
• pas de période de grâce, pas de “transition” : il y a une volonté claire de consacrer une indépendance de l’Europe
• Pour les PME ayant des ressources limitées, là encore pas de débat : le sujet de la taille n’est pas acceptable. “Faites l’effort, technique, financier, choisissez les hébergeurs en Europe”.

 Côté pratique, quel plan d’actions ?

• Les CCT vont évoluer, la Commission Européenne y travaille, des lignes directrices se préparent
• Compte tenu des positions strictes,faites l’effort avec ce que vous avez en place, signez les CCT existantes,
• Effectuez des Analyse d’Impact pour vos transfert (‘Transfer Impact Assessment”, TIA)
• Essayez de mettre en place des garanties supplémentaires et attendez que les choses soient plus claires
• Attention, ce n’est pas que les US mais aussi l’Australie, l’Inde, etc.

3 possiblités / 3alternatives s’offrent aux entreprises suite à la fin du Privacy Shield :

• Les “BCR“, valables pour les transferts intra groupe
• Les “CCT“, avec la nécessité d’analyser les mesures mises en places, et d’avoir un panorama de l’ensemble des législations des pays vers lesquels on pourrait avoir des transferts
• L’arrêt des transferts ! Radical, mais c’est une alternative. Qui peut être évitée, en, se penchant avec les sous-traitants sur les mesures à prendre.

Des directives seront nécessairement données par les autorités locales (nous attendons celles de la CNIL), avec des consignes plus précises. Il est cependant grand temps de se préparer.