A la suite de l’arrêt rendu par la CJUE dans l’affaire Schrems le 16 juillet dernier, le Comité Européen de la Protection des Données (CEPD) a publié une Foire Aux Questions qui reprend les points essentiels de l’affaire dans un résumé de l’arrêt puis en analyse les effets afin d’apporter des réponses aux enjeux posés par l’invalidation du Privacy Shield.
Du fait de l’invalidation sans maintien provisoire des effets du Privacy Shield, de nombreuses entreprises concernées par le transfert de données personnelles hors de l’UE font à nouveau face à une forte insécurité juridique.
Quelques réponses sont apportées par la FAQ publiée par le Comité Européen.
Si des données personnelles peuvent être transférées aux Etats-Unis grâce aux clauses contractuelles types publiées par la Commission européennes, plusieurs conditions doivent être remplies afin de garantir un niveau de protection adéquat au sens du RGPD.
Les circonstances du transfert doivent d’abord être prises en compte, notamment le fait que la loi américaine (la section 702 du Foreign Intelligence Surveillance Act et l’Executive Order 12333 visés par l’arrêt) ne garantit pas un niveau de protection suffisant des données personnelles. Dès lors, des mesures supplémentaires doivent être mises en place afin d’assurer au cas par cas que la loi américaine n’empiètera pas sur le niveau de garantie adéquat. Le CEPD donnera prochainement plus de détails sur ces types de mesures supplémentaires.
Dans le cas contraire, le transfert de données devra être suspendu ou stoppé.
Si le transfert est maintenu par l’entreprise alors qu’aucune mesure complémentaire ne suffit à garantir un niveau de protection adéquat, elle devra notifier le transfert à l’autorité nationale de protection des données.
Cette FAQ répond également aux problématiques soulevées par les entreprises utilisant les BCR (Binding Corporate Rules) ou règles d’entreprise contraignantes mais la réponse est identique : les circonstances particulières devront être prises en compte et des mesures supplémentaires mises en place.
Ces réponses peuvent sembler insatisfaisantes aux entreprises qui ne peuvent se dispenser de transférer des données personnelles aux Etats-Unis. En outre, il est fort peu probable que la législation américaine soit prochainement modifiée afin de renforcer le niveau de protection des données personnelles sachant que le Cloud Act a été adopté la même année que le RGPD.
Le CEPD rappelle toutefois que les exceptions prévues à l’article 49 du RGPD peuvent toujours s’appliquer, en particulier le recueil du consentement des personnes concernées. Pour cela, le CEPD se réfère aux lignes directrices 2/2018 publiées sur ce sujet.
Rappelons également que la position de la Cour impacte tous les autres pays tiers, en ce qui concerne le seuil de protection adéquat exigé. Dans le cas où un responsable de traitement travaille en collaboration avec des sous-traitants, il convient de vérifier si le contrat autorise ou non les transferts de données hors de l’UE. Dans le cas où le transfert des données est prévu vers les Etats-Unis et si aucune mesure supplémentaire ne peut être mise en œuvre et qu’aucune dérogation de l’article 49 n’est applicable, le CEPD recommande de négocier un amendement ou une clause supplémentaire du contrat afin d’interdire tout transfert vers cette destination. En outre, il convient de vérifier si l’autorisation du responsable de traitement est prévue en cas de sous-traitance par le sous-traitant lui-même permettant ainsi de sécuriser le responsable de traitement en s’assurant que les données qu’il sous-traite ne seront pas transférées vers des pays tiers ne garantissant pas un niveau de protection adéquat, situation qui pourrait engager sa responsabilité.
Des précisions seront encore les bienvenues, notamment s’agissant des mesures supplémentaires, qui, dans la pratique devront être mises en place par les responsables de traitement afin de s’assurer de leur conformité au RGPD.