Blog Données personnelles
Transferts de données vers les Etats-Unis : le Privacy Shield est invalidé - que faire ?
Nouveau cataclysme dans le petit monde des données personnelles : la Cour de Justice de l’Union européenne (CJUE) vient d’invalider le bouclier de protection des données EU-US, mieux connu sous le nom de « Privacy Shield ».
Entré en vigueur le 1er août 2016, le Privacy Shield permettait aux organisations européennes de transférer des données personnelles (commerciales, de santé, RH, etc.) de l’UE vers des entreprises établies aux Etats-Unis et ayant adhéré au dispositif. Il avait été adopté par la Commission européenne à la suite de l’invalidation (déjà) en 2015 du « Safe Harbor », précédent dispositif d’auto-certification (affaire Schrems I).
La CJUE reproche en substance au Privacy Shield de ne pas suffisamment encadrer les limitations portées à la protection des données personnelles qui découlent de la réglementation interne des Etats-Unis permettant l’accès et l’utilisation, par les autorités publiques américaines des données transférées. La Cour souligne ici le défaut de proportionnalité (habilitation illimitée et absence de garanties pour les personnes non américaines potentiellement visées) des programmes de surveillance américains, qui, de surcroit, ne confèrent pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux. Elle remet également en cause le mécanisme de médiation (ombudsperson), qui n’offre pas de garanties suffisantes en matière d’indépendance et d’existence de normes habilitant le médiateur à adopter des décisions contraignantes à l’égard des services de renseignement américains.
Cette décision va évidemment avoir un impact important sur les échanges UE-US puisque, concrètement, tous les transferts de données personnelles qui reposaient jusqu’à aujourd’hui sur ce dispositif sont devenus illicites. En principe, ces transferts doivent dès lors cesser, à moins de mettre en place un mécanisme de transfert de remplacement. Notons que de nombreux prestataires, sous-traitants américains, qui fournissent leurs services en Europe, mettent souvent en avant à la fois une certification au Privacy Shield et l’existence de clauses contractuelles types, au cas où l’un de ces mécanismes venait justement à être invalidé.
Mais il se trouve que la CJUE a justement confirmé la validité des clauses contractuelles types de 2010 pour le transfert de données personnelles vers des sous-traitants établis en dehors de l’UE. Les juges ont effet considéré que la décision 2010/87 met en place des mécanismes effectifs permettant d’assurer que le niveau de protection requis par le RGPD soit respecté et que les transferts de données personnelles soient suspendus ou interdits en cas de violation des clauses ou d’impossibilité de les honorer. En effet, les clauses prévoient :
- l’obligation pour l’exportateur (responsable de traitement européen) et l’importateur (sous-traitant américain) des données de vérifier, au préalable, que le niveau de protection est bien respecté dans le pays destinataire,
- et pour l’importateur, d’informer l’exportateur de son éventuelle incapacité de se conformer aux clauses, à charge pour le responsable de suspendre le transfert ou de résilier le contrat.
La Cour rappelle également le rôle des autorités de contrôle qui sont obligées de suspendre ou d’interdire un transfert de données vers un pays tiers si elles estiment que les clauses ne sont pas suffisantes pour garantir la protection des données transférées.
La confirmation de la validité des clauses contractuelles types apparaît donc comme une « fausse bonne nouvelle » : elles sont intrinsèquement valides, mais pourraient ne pas être suffisantes en fonction du système juridique du pays destinataire. En l’occurrence, compte tenu du raisonnement de la CJUE au sujet du Privacy Shield et de la réglementation américaine, il n’est pas certain que les clauses contractuelles types offrent une solution satisfaisante pour transférer des données vers les Etats-Unis.
De quoi plonger dans l’embarras des milliers d’entreprises, à un moment où l’économie est au plus mal : choisir entre le rapatriement des données sur le sol européen (chantier technique et financier important) ou être en infraction avec le RGPD et risquer de se voir infliger une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du CA annuel mondial total... Cette décision présente au moins une opportunité dont devrait se saisir le cloud européen qui ne demande qu’à se développer.