Invalidation du Privacy Shield : Quelles solutions pour le transfert de données aux Etats-Unis ?

Le transfert de données personnelles vers des pays situés hors de l’Union européenne suppose que ceux-ci disposent d’un niveau de protection adéquat.

Pour ce faire, la Commission européenne peut adopter des décisions d’adéquation permettant,  notamment à certains pays tiers d’offrir un niveau de protection suffisant pour les transferts transfrontaliers^[1].

Or, depuis l’arrêt de la CJUE du 16 juillet 2020^[2], le  « Privacy Shield », qui permettait le transfert de données personnelles de l’EEE vers les Etats-Unis, ne figure plus au titre des décisions d’adéquation.

La CJUE a, en effet, considéré que les « limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines » ne permettaient pas un tel transfert, sauf encadrement permettant de répondre aux exigences requises.

Ce bouclier de protection tel que résultant du Privacy Shield ne peut donc plus être considéré comme assurant un « niveau de protection adéquat ».

Au vu de cette décision, nombre de sociétés, plus spécifiquement opérant au sein d’un même groupe ou ayant recours à des sous-traitants de données personnelles aux Etats-Unis, sont en insécurité juridique.

Ainsi 101 recours ont récemment été déposés auprès des autorités de contrôles par l’association NOYB à l’encontre d’autant organismes européens, dont 6 français, qui transmettent leurs données vers les Etats-Unis.

Les organismes ne sont pas pour autant démunis de solutions, mais doivent, en l’absence de délai de grâce qui leur serait conféré, envisager rapidement un mode de transfert adapté.

Quelles solutions  pour les sociétés européennes conduites à opérer des transferts de données vers les Etats-Unis ?

Au-delà des quelques dérogations correspondant « à des situations particulières » telles que prévues par l’article 49 du RGPD, parmi lesquelles, notamment le consentement explicite, l’exécution d’un contrat et les motifs importants d’intérêt public, qu’il convient d’utiliser avec parcimonie, au regard de leur très stricte interprétation par les autorités de protection des données, les sociétés pourront recourir notamment aux deux garanties appropriées ci-après :

• Les clauses contractuelles « types» (CCT) de protection des données de la Commission européenne^[3] ou adoptées par une autorité de contrôle et approuvées par la Commission^[4]. Elles seront différentes selon qu’elles relèvent d’un transfert entre deux sociétés responsables de traitement ou d’un transfert entre un responsable de traitement et son sous-traitant. Elles doivent cependant être soumises à une évaluation qui tiendra compte des circonstances du transfert et des garanties supplémentaires apportées pour atteindre le niveau de protection adéquat requis.

• Les politiques de protection des données au sein d’un groupe, ces règles d’entreprises contraignantes « Binding Corporate Rules » (BCR), sont particulièrement adaptées aux entreprises multinationales, « engagées dans une activité économique conjointe^[5]». Elles présentent les avantages d’uniformiser les pratiques au sein d’un groupe, et de rassurer les personnes concernées sur la préoccupation éthique du groupe. Elles doivent aussi, en application de la décision de la CJUE être évaluées.

Ainsi, BCR et CCT, si elles sont les modalités les plus adaptées d’un transfert de données personnelles vers les Etats-Unis, doivent, pour autant, comme l’a rappelé la CJUE, être reconsidérées et appréciées au cas par cas et, le cas échéant, accompagnées de garanties supplémentaires.

Ainsi, avant chaque transfert de données vers les Etats-Unis, y compris au sein d’un même groupe ou dans le cadre de prestations de services, chaque société devra :

• examiner le flux éventuel de ses données circulant entre l’UE et les Etats-Unis,
• envisager une évaluation des risques et éventuelle reconsidération des garanties posées dans les CCT ou les BCR,
• modifier son Data Protection Agreement (DPA)

Vous vous interroger sur les solutions à mettre en place pour vous adapter à la suppression du Privacy Shield ?

Vous vous demandez comment continuer à utiliser les services cloud de vos prestataires ou encore les logiciels de grands éditeurs US pour vos opérations marketing ?  tels que Google Analytics, Facebook…

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions et trouver les solutions adaptées à votre contexte et vos besoins.

Pour nous contacter : cliquez ici

[1] Article 45 du RGPD

[2] CJUE,16 juillet 2020, affaire C-311/18, Data Protection Commissioner/Maximillian Schrems et Facebook Ireland

[3] Article 46-2, c) du RGPD

[4] Article 46-2, d) du RGPD

[5] Article 47-1 du RGPD