Par un arrêt rendu public jeudi 16 juillet, la Cour de justice de l’Union Européenne a invalidé le bouclier de protection des données personnelles, plus connu sous le nom de « Privacy Shield ». Cette décision, qui fait suite à l’invalidation 5 ans plus tôt d’un premier mécanisme similaire, le Safe Harbor, inquiète aussi bien les responsables de traitement européens que les personnes concernées dont les données sont transférées aux Etats-Unis.

Invalidation du « Privacy Shield »

C’est une nouvelle fois dans une affaire opposant M. Schrems au réseau social Facebook que la Cour a eu à se prononcer sur le degré de protection des données personnelles transférées aux Etats-Unis, M. Schrems soutenant que « le droit et les pratiques des Etats-Unis n’offrent pas de protection suffisante contre l’accès, par les autorités publiques, aux données transférées vers ce pays. »

La Cour s’est prononcée quant à la validité de deux décisions de la Commission européenne :

  • elle a validé la Décision 2010/87 relative aux clauses contractuelles types, dont la signature permet le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers à ceux de l’Espace Economique Européen, d’une part,
  • et d’autre part, elle a invalidé la Décision d’exécution 2016/1250 dite « BPD » (Bouclier de Protection des Données) « relative à l’adéquation de la protection permise par le Privacy Shield ».

Le Privacy Shield était défini par la CNIL comme « un mécanisme d’auto-certification pour les entreprises établies aux Etats-Unis qui a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux États-Unis. ». Il permettait notamment aux entreprises européennes soumises au RGPD de transférer des données à caractère personnel aux Etats-Unis sans avoir à prévoir de mesures de protection particulières.

Une protection insuffisante des données en provenance de l’UE

Selon la CJUE, la législation américaine n’assure pas suffisamment de garanties au transfert des données à caractère personnel. La Cour a en effet procédé à l’examen de la validité de la décision « BPD » 2016/1250 au regard des exigences découlant du RGPD, lu par ailleurs à la lumière des dispositions de la Charte garantissant le respect de la vie privée et familiale, la protection des données à caractère personnel et le droit à une protection juridictionnelle effective.

La Cour a constaté que les « limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines » s’opposent à ce que les données personnelles transférées vers les Etats-Unis soient « encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire ».

Les lois de surveillance américaines en toile de fond

En prononçant cette invalidation, la CJUE tire notamment les conclusions de l’utilisation de données, par les autorités publiques américaines, dans le cadre des programmes de surveillance PRISM et UPSTREAM fondés sur l’article 702 du Foreign Intelligence Surveillance Act (FISA).

Cette décision pose ainsi de nombreuses questions quant au respect de la vie privée des personnes dont les données continueront d’être transférées vers les Etats-Unis, notamment par l’application d’autres « garanties appropriées », telles que les règles d’entreprises contraignantes (souvent abrégées « BCR » sous l’acronyme anglais) ou la signature de clauses contractuelles types.

La remise en cause du Privacy Shield est également inquiétante si on la met en perspective avec la récente décision du gouvernement français de confier une partie du traitement des données constituant le Health Data Hub (ou Plateforme des données de santé) à la société américaine Microsoft. Le Conseil D’Etat et la CNIL ayant tous deux constaté que de telles données, dans ce contexte pourraient « faire l'objet de transferts hors de l'Union européenne dans le cadre du fonctionnement courant de la solution technique, notamment pour des opérations d'administration de cette dernière ».

En réponse à ces inquiétudes, l'administration a notamment fait valoir que seules des données nécessaires aux opérations de maintenance ou de résolution d'incidents – et non des données de santé – sont concernées et que des mesures de contrôle interdisent tout accès aux employés de Microsoft sans l'accord de la Plateforme des données de santé.

Quid des DPA ?

Enfin, la disparition de cette décision d’adéquation partielle aura nécessairement des conséquences sur les contrats encadrant les traitements de données personnelles entre responsables de traitements et sous-traitants (« Data Processing Agreement »).

Il convient, dès lors, de prévoir contractuellement d’autres mécanismes de sauvegarde de la protection des données, et de veiller à leur mise en application (signature des clauses contractuelles types, procédures de validation des BCR…).

A vos Data Protection Agreement !

Pensez à mettre à jour vos DPA pour assurer la conformité de vos transferts de données vers les Etats-Unis ; vérifier le fondement de vos transferts de données pour prendre en compte la disparition du Privacy Shield.

 

Arthur Poirier, Avocat en charge des activités de marketing digital & Claudia Weber, Avocat associé | ITLAW Avocats

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies, accompagne ses clients dans la protection des données personnelles, mises en conformité RGPD et rédaction et négociation de leur DPA (Data Protection Agreement) , et est à votre disposition pour vous accompagner.

Pour nous contacter : cliquez ici

Partager: