Lecture 6 minutes
Le 16 juillet 2020, la Cour de Justice de l’Union européenne (CJUE) a invalidé le bouclier de protection des données UE-Etats-Unis. Ce dispositif est plus connu sous le nom de Privacy Shield. Que couvrait-il précisément ? Et quelles sont les conséquences de cette actualité pour les entreprises françaises et européennes ?
Le Privacy Shield : origine et utilisations
Ce bouclier de protection de données a été mis en place en août 2016. Il fait suite à l’annulation du dispositif Safe Harbord par la CJUE en octobre 2015. Jusqu’à cette date, le Safe Harbord encadrait le transfert des données à caractère personnel entre l’UE et les Etats-Unis. Cependant, la plainte d’un citoyen européen, Maximillian Schrems, est venue tout bouleverser... A sa suite, la CJUE a estimé que le Privacy Shield ne proposait pas un cadre suffisant, notamment vis à vis de l’accès aux données par les autorités américaines.
Le Privacy Shield est décrit par la CNIL comme “un mécanisme d’auto-certification pour les entreprises établies aux États-Unis qui a été reconnu par la Commission Européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux États-Unis.”
Privacy Shield et RGPD
Cette réglementation correspond notamment à l’article 45 du RGPD (mis en place en 2016 et entré en vigueur en mai 2018). Cet article encadre les transferts de données à caractère personnel vers des pays tiers fondés sur une décision d'adéquation. Cela signifie que la Commission européenne décide si tel ou tel pays tiers, ici les Etats-Unis, traite les données à caractère personnel avec un niveau de protection adéquat au RGPD, ou non. Le Privacy Shield est géré par le Département du Commerce américain et n’est donc pas systématique pour toutes les sociétés américaines. Pour en bénéficier, elles doivent démontrer leur adéquation avec ce mécanisme.
Pourquoi le Privacy Shield a-t-il été invalidé ?
Jusqu'à récemment, le Privacy Shield régissait donc le transfert de données à caractère personnel entre l'Europe et les Etats-Unis. Mais, suite aux récentes révélations du PRISM (programme américain de surveillance électronique), Maximillian Schrems a déposé une nouvelle plainte qui a abouti le 16 juillet 2020 à l’invalidation du Privacy Shield par la CJUE.
Parmi les diverses raisons résultantes, il apparaît qu’une personne citoyenne de l’Union Européenne n’a pas accès aux mêmes recours juridiques en cas de non respect du règlement qu’une personne ressortissante américaine. Il est aussi avancé que diverses lois américaines, comme l’article 702 du FISA, le programme Upstream ou encore l’executive Order 1233 qui autorisent le traitement des données en masse et de manière non ciblée, contrevient au principe de proportionnalité indiqué dans le RGPD.
Cette annulation ayant un effet immédiat, de nombreux bouleversements surviennent. Les entreprises européennes utilisant ce mécanisme comme fondement d’un transfert vers une entreprise américaine doivent trouver une alternative.
Comment procéder si votre entreprise transfèrent des données à caractère personnel aux Etats Unis ?
Changer d'habitude
Il est toujours possible de choisir de renoncer à utiliser un service pour transférer les données à l'extérieur de l'Union Européenne et d’opter pour une entreprise européenne qui garantit ne faire aucun transfert de données. Si ce n’est pas envisageable, alors il faut évaluer la capacité du service sollicité à être en conformité concernant le produit utilisé.
Afin de transférer des données dans un autre cadre que fondé sur une décision d'adéquation, il convient de se référer à l’article 46 du RGPD. Cette partie du règlement indique que le transfert peut se faire si des garanties appropriées sont apportées. On parle de garanties appropriées par exemple lorsqu’on peut juger concrètement de la sécurité des données, de l’accès à celles-ci par quiconque (y compris les autorités) ainsi que de la capacité des personnes européennes à pouvoir faire appliquer leurs droits.
Ajouter des clauses...
Une des possibilités de faire cela sans une autorisation particulière de la CNIL, ou tout autre autorité de contrôle, est d’inclure au contrat qui lie les deux sociétés concernées, ce que l’on appelle les clauses types de protection des données adoptées par la Commission Européenne. Ces clauses sont plus connues sous leurs acronymes anglais Standard Contractual Clauses ou SCC. Une entreprise européenne qui envoie des données vers les Etats-unis doit juger que l’entreprise qui les reçoit a mis en place toutes les actions nécessaires au niveau technique, juridique et financier afin d’apporter les garanties appropriées.
... et vérifier !
Chaque entreprise européenne doit donc vérifier dès à présent au travers de son registre des traitements s’il y a effectivement des transferts de données à caractère personnel vers les Etats Unis et si ceux-ci étaient couvert uniquement au travers du Privacy Shield. Si tel est le cas, et qu’elle souhaite toujours utiliser les services de cette société américaine, il faut qu’elle évalue chaque contrat de manière unitaire pour ajouter les clauses nécessaires au respect du RGPD et les valider de gré à gré avec la société concernée.
Bienvenue dans l'après-Privacy Shield
Ce changement peut être perçu comme une contrainte supplémentaire dans une entreprise de taille petite ou moyenne et n’ayant pas de service dédié à cela. Mais il s’agit surtout d’un moyen pour ces entreprises de connaître les bonnes questions à se poser et ainsi faire des choix plus appropriés afin de mieux maîtriser l’utilisation des données qu’elles traitent.