Le Privacy Shield n’est plus. Le successeur du Safe Harbor a été invalidé par la Cour de Justice de l’Union européenne (CJUE), par un arrêt en date du 16 juillet 2020 dit « Schrems II » (C‑311/18) [1].
Le « Bouclier de protection des données », mieux connu sous le nom de « Privacy Shield », est un mécanisme d’auto-certification pour les entreprises établies aux États-Unis qui avait été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux États-Unis [2].
Ce mécanisme, qui avait été mis en place en 2016 en conséquence de l’invalidation du Safe Harbor [3], était par conséquent considéré comme offrant des garanties juridiques appropriées pour de tels transferts de données, et comme permettant aux responsables de traitement en Union européenne de transférer des données à caractère personnel vers les entreprises établies aux États-Unis ayant adhéré au Privacy Shield.
La Commission européenne avait d’ailleurs rappelé cette position dans son rapport annuel du 23 octobre 2019 où elle confirmait « que les États-Unis continuent de garantir un niveau suffisant de protection des données à caractère personnel transférées de l’UE vers les sociétés participantes des États-Unis au titre du bouclier de protection des données ».
C’est néanmoins la position inverse que vient d’adopter la CJUE, saisie de plusieurs questions préjudicielles, notamment sur la validité de la décision d’adéquation précitée concernant le Privacy Shield. Cette décision est également l’occasion pour la CJUE de venir confirmer la validité de la décision de la Commission européenne ayant adopté les clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers [4], tout en rappelant le pouvoir d’appréciation des autorités de contrôles à cet égard.
Quelles sont les conclusions de la CJUE ?
Aux termes de la décision de la CJUE, cette dernière a estimé que les exigences du droit américain, et en particulier certains programmes permettant l’accès des autorités publiques américaines aux données à caractère personnel transférées de l’Union européenne vers les États-Unis à des fins de sécurité nationale, entraînent des limitations de la protection des données à caractère personnel qui ne sont pas circonscrites de manière à satisfaire à des exigences essentiellement équivalentes à celles requises par le droit de l’Union européenne, et que cette législation n’accorde pas aux personnes concernées un droit à un recours effectif et un accès à tribunal impartial et indépendant.
Du fait de l’ampleur de l’atteinte portée aux droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers, la CJUE a déclaré la décision d’adéquation du Privacy Shield invalide.
Par ailleurs, la CJUE, après avoir examiné la décision de la Commission européenne relative aux clauses contractuelles types la juge valide. Toutefois, la CJUE ajoute que cette validité dépend de la question de savoir si cette décision comporte des mécanismes efficaces permettant, en pratique, d’assurer le respect du niveau de protection essentiellement équivalent à celui garanti au sein de l’Union Européenne par le RGPD et de suspendre ou d’interdire les transferts de données personnelles opérés au moyen de telles clauses en cas de violation de ces clauses ou d’impossibilité de les respecter. À cet égard, la CJUE rappelle que cette décision :
– impose à l’exportateur et à l’importateur de données l’obligation de vérifier, préalablement à tout transfert hors Union européenne, en prenant en compte les circonstances du transfert, si le niveau de protection est respecté dans le pays tiers concerné ;
– exige que l’importateur de données informe l’exportateur de données de toute incapacité à se conformer aux clauses types de protection des données et, le cas échéant, à toute mesure complémentaire à celles prévues par les clauses, l’exportateur de données étant alors, en contrepartie, tenu de suspendre le transfert de données et/ou de résilier le contrat avec l’importateur de données.
La CJUE ajoute que les garanties appropriées, les droits opposables et les voies de droit effectives requis par le RGPD doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne. Elle précise qu’à cet effet l’évaluation du niveau de protection assuré dans le contexte d’un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci.
Enfin, elle précise que l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci.
Quelles sont les conséquences pour les entreprises qui exportent des données à caractère personnel vers les Etats-Unis (ou vers d’autres pays hors Union européenne) ?
Le Comité européen de la protection des données (CEPD) a publié une première analyse de cette décision de la CJUE (via des FAQ) le 23 juillet 2020 [5]. En tout état de cause, il résulte de cette décision que :
– l’arrêt de la CJUE a un effet immédiat, cette dernière ayant invalidé la décision d’adéquation du Privacy Shield sans en maintenir les effets;
– dorénavant, tout transfert de données à caractère personnel effectué à l’attention d’un organisme aux Etats-Unis et fondé sur le fait que cet organisme a adhéré au Privacy Shield est considéré comme n’étant pas encadré par des garanties appropriées et doit donc être considéré comme illégal ;
– tout organisme qui communique des données à un organisme aux Etats-Unis sur la base des clauses contractuelles types émises par la Commission européenne (ou « CCT ») doit tout de même s’assurer, au moyen d’une évaluation approfondie des circonstances du transfert et des mesures supplémentaires déployées, (i) que les données bénéficient aux Etats-Unis d’un niveau de protection essentiellement équivalent à celui garantit par le droit de l’Union européenne et (ii) que la législation américaine ne compromet pas sur le niveau de protection adéquat que les clauses contractuelles types et ces mesures garantissent. S’il est conclu au fait que, compte tenu des circonstances du transfert et d’éventuelles mesures supplémentaires, le respect des garanties appropriées ne serait pas assuré, alors l’organisme concerné devra suspendre ou mettre fin au transfert de données à caractère personnel ;
– une telle évaluation, et les conséquences en résultant, sont identiques pour tout organisme qui transfert des données à caractère personnel vers un autre organisme aux Etats-Unis sur la base de Binding Corporate Rules (ou « BCR ») ;
– l’utilisation de CCT ou de BCR pour transférer des données à caractère personnel vers d’autres Etats hors Union européenne est bien entendu toujours possible mais le même raisonnement que précité, s’agissant de la nécessité d’évaluer si le niveau de protection requis par le droit de l’Union européenne est respecté dans le pays tiers concerné afin de déterminer si les garanties fournies par les CCT ou les BCR peuvent être respectées dans la pratique, et les conséquences associées, doivent être suivis ;
– le transfert de données à caractère personnel vers les pays bénéficiant d’une décision d’adéquation valide émise par la Commission européenne semble toujours possible, de même qu’il est toujours possible de procéder à des transferts de données à caractère personnel vers un pays tiers, en ce incluant les Etats-Unis, en vertu de l’article 49 du RGPD, étant rappelé que les dérogations à l’interdiction des flux transfrontières de données prévues par cet article doivent être interprétées de manière stricte ;
– la Cnil peut toujours suspendre ou interdire un transfert de données à caractère personnel hors Union européenne si elle estime que ce transfert n’offre pas un niveau adéquat de protection des données à caractère personnel ;
– le CEPD indique qu’il analyse actuellement l’arrêt de la CJUE afin de déterminer le type de mesures complémentaires qui pourraient être fournies en plus des CCT ou des BCR, qu’il s’agisse de mesures juridiques, techniques ou organisationnelles, pour transférer des données vers des pays tiers où les CCT ou les BCR ne fourniront pas à eux seuls le niveau de garanties suffisant. Le CEPD analyse plus en détail en quoi pourraient consister ces mesures supplémentaires et fournira davantage d’orientations ultérieurement.
Quelles actions dois-je désormais mener au sein de mon entreprise pour tenir compte des conséquences de cette décision ?
Il résulte de cette décision de la CJUE qu’il appartient dès à présent aux organismes de prendre les mesures qui s’imposent s’agissant des transferts de données à caractère personnel qu’ils peuvent mettre en œuvre vers des Etats hors Union européenne, en particulier vers les Etats-Unis, et notamment :
– de procéder à un recensement et à une cartographie des transferts de données à caractère personnel vers les Etats-Unis fondés sur l’adhésion du destinataire au Privacy Shield, et plus généralement de tous les transferts vers des Etats hors Union européenne et des mesures prises pour les encadrer (cf. fondement des transferts de données à caractère personnel) ;
– pour les transferts vers les Etats-Unis fondés sur le Privacy Shield, de réaliser une évaluation approfondie des circonstances du transfert et des mesures devant être déployées afin que les données bénéficient dans les pays tiers concernés d’un niveau de protection essentiellement équivalent à celui garantit par le droit de l’Union européenne, étant rappelé que le recours aux CCT ou aux BCR ne semble désormais plus suffisant ;
– pour les autres transferts, si ces derniers étaient fondés sur des CCT ou des BCR, de procéder à une telle évaluation également pour déterminer si des mesures supplémentaires de protection des données à caractère personnel doivent être déployées ;
– en cas d’impossibilité de garantir un niveau de protection des données à caractère personnel essentiellement équivalent à celui garantit par le droit de l’Union européenne, de suspendre ou mettre fin à ces transferts ;
– dans tous les cas, d’étudier les alternatives envisageables à ces flux transfrontières de données à caractère personnel, notamment la possibilité de recourir à des outils ou à des prestataires garantissant l’absence de transfert de données à caractère personnel vers des Etats hors Union européenne.
* *
*
Le pôle IT & Data protection d’Agil’IT se tient à votre disposition pour échanger avec vous sur les conséquences pour votre organisme de la décision précitée et sur les actions à déployer en vue d’une mise et / ou d’un maintien en conformité de vos transferts de données à caractère personnel hors Union européenne à la règlementation applicable.
Par AGIL’IT – Pôle IT, Data protection & Télécoms
Laure LANDES-GRONOWSKI, Avocate associée
[1] CJUE, 16 juillet 2020, C-311/18
[2] Décision (UE) 2016/1250 du 12 juillet 2016
[3] Comme le Privacy Shield, le Safe Harbor était un mécanisme d’auto-certification similaire qui avait fait l’objet d’une décision d’adéquation émanant de la Commission européenne (Décision 2000/520/EC du 26 juillet 2000), cette décision ayant été invalidée par la CJUE lors d’un arrêt « Schrems I » en date du 6 octobre 2015 (C‑362/14).
[4] Décision 2010/87/CE du 5 février 2010
