Protection des données à caractère personnel : invalidation du Privacy Shield

Droit
des affaires

Par un arrêt rendu le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) a invalidé le Privacy Shield, décision d’adéquation adoptée en 2016 par la Commission européenne qui permettait le transfert de données à caractère personnel vers les États-Unis sans formalité particulière.

Dans ce même arrêt, la CJUE a également validé les clauses contractuelles types permettant le transfert de données hors de l’Union.

Les articles 44 à 50 du Règlement européen de protection des données (RGPD / GDPR) fixent en effet le cadre des transferts de données personnelles hors de l’UE et prévoient qu’un transfert international de données peut s’effectuer soit par une décision d’adéquation par laquelle l’Union reconnaît qu’un territoire présente un niveau de protection équivalent au sien, soit par des garanties appropriées listées par le RGPD parmi lesquelles figurent notamment les clauses contractuelles types (CCT) et les règles d’entreprise contraignantes (Binding Corporate Rules ou BCR).

L’invalidation du Privacy Shield signifie donc que les entreprises ne peuvent plus en théorie transférer de données personnelles vers les États-Unis en se fondant sur le Privacy Shield.

En pratique, tous les responsables de traitement et sous-traitants (hébergeurs SaaS, éditeurs etc.) qui souhaitent maintenir ces transferts de données vers les États-Unis devront donc mettre en place d’autres garanties appropriées (CCT ou BCR), ou à défaut renoncer à recourir à un prestataire situé sur le sol américain.

Si la solution des clauses contractuelles types validées par la Commission apparaît comme l’option la plus simple à mettre en œuvre, elle n’est toutefois pas sans risque. En effet, le Privacy Shield ayant été notamment invalidé en raison de la réglementation américaine, il est possible que les autorités européennes considèrent que l’application de ces clauses ne permette pas de garantir un niveau de protection suffisant s’agissant d’un transfert de données vers les États-Unis.

La CNIL, en lien avec ses homologues européens, procède actuellement à une analyse de l’arrêt, à laquelle il conviendra donc d’être particulièrement vigilant afin de savoir si et dans quelles conditions les transferts de données vers les États-Unis seront possibles à l’avenir.

Le Comité Européen de la Protection des Données (CEPD) a déjà fourni de premiers éléments d’analyse sous la forme d’un « questions/réponses » traduit par la CNIL. Il confirme qu’il n’existe pas de délai de tolérance pendant lequel il est possible de continuer à transférer des données vers les États-Unis sans évaluer la base légale du transfert. S’agissant du recours aux CCT pour un tel transfert, celui-ci ne sera possible que si l’évaluation de la législation au regard des circonstances du transfert et aux mesures supplémentaires mise en place conclut à un niveau de protection adéquat.

Le CEPD devrait déterminer prochainement le type de mesures complémentaires (juridiques, techniques ou organisationnelles) qui pourraient être fournies en plus des CCT ou des BCR, pour prétendre à un niveau de garantie suffisant.

Plan de travail 1
Plan de travail 1