Est-ce que la mort du Privacy Shield est une bombe pour les entreprises ?


Droit


20 juillet 2020

Le 16 juillet 2020 la justice européenne a invalidé, à grand bruit, l’accord « Privacy Shield » qui permettait sans aucune formalité le transfert de données personnelles de l’Union européenne vers les Etats-Unis et cela va sans aucun doute impacter toutes les organisations européennes. (Arrêt dans l’affaire dite « Schrems II C-311/18)

Par Isabelle DELAGE Avocat - Data Protection Officer, Expert IT-NTIC-DATA PRIVACY, DPO diplômée de Paris-Dauphine et certifiée, phygitalaw.com

Qu’était le Privacy Shield ?

Privacy Shield est un accord entre l’UE et les États-Unis, qui était en vigueur depuis le 12 juillet 2016, qui permettait le transfert de données personnelles de l’UE vers les États-Unis.
Privacy Shield a créé un mécanisme nommé « Bouclier de protection des données » par lequel les entreprises participantes étaient considérées comme bénéficiant d’une protection adéquate. Privacy Shield était très controversé notamment par les professionnels de la protection des données qui connaissaient bien ses failles et défauts.

Quel est le contexte de la mort de Privacy Shield ?

Les origines de l’affaire remontent en 2013 lorsqu’Edward Snowden a révélé au monde le scandale des transmissions de données par des sociétés américaines, dans le cadre de programmes de surveillance américains.
À cette époque les transferts de données entre l’Europe et les États-Unis étaient fondés sur le Safe Harbor, schéma d’auto-certification des sociétés américaines.
Dans le même temps, l’autrichien Maximilian Schrems, fervent défenseur de la protection de la vie privée, avait entamé un combat contre les transferts de données vers les EU et plus spécifiquement contre Facebook.
Son combat justifié par le conflit entre les lois de surveillance américaines, qui permettent l’accès aux données personnelles d’européens, et celles de l’UE qui exigent la confidentialité, avait débouché sur un premier arrêt fondamental de la Cour de Justice (C-362/14) du 6 octobre 2015, par lequel elle a déclaré invalide le mécanisme de Safe Harbor.

Le Safe Harbor a été remplacé en 2016 par le Privacy Shield, et la procédure initiée en 2013 par Maximilian Schrems s’est poursuivie jusqu’à l’arrêt final du 16 juillet 2020 avec la décision de la CJUE qui invalide le Privacy Shield.

La procédure initiée en 2013 par Maximilian Schrems s’est poursuivie jusqu’à l’arrêt final du 16 juillet 2020 avec la décision de la CJUE qui invalide le Privacy Shield. DR 2017 David Bohmann, PID

Pourquoi la Cour de justice de l’Union européenne a condamné le Privacy Shield ?

Pour faire court, parce que la confidentialité des données transférées aux États-Unis n’est pas garantie.

Plus juridiquement, la Cour de justice européenne a estimé que les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis, portant sur l’accès et l’utilisation par les autorités publiques américaines, des données transférées, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire..

Quelles conséquences pour les organisations françaises (et européennes) ?

Toutes les organisations qui s’appuient sur le Privacy Shield pour justifier les flux de données vers les États-Unis devront obligatoirement ajuster leurs pratiques pour maintenir la légalité des flux de données et éviter toute action en justice en Europe.

Environ 5 300 entreprises américaines s’appuient sur le Privacy Shield et donc des milliers d’organisations européennes qui utilisent leurs solutions.

Cela représente un enjeux financier de dizaines de milliards d’euros.  

Si des données sont transférées sans cadre légal, les organisations qui sont responsables des données qu’elles traitent s’exposent à des plaintes des personnes dont les données sont transférées (clients, salariés, fournisseurs etc.) et à des sanctions financières lourdes (amendes de jusqu’à 4 % du CA mondial).
En clair c’est une bombe qui va bouleverser, voire arrêter dans de nombreux cas, les transferts de données entre l’UE et les États-Unis.
Cela s’est déjà produit après l’annulation du Safe Harbor où les entreprises se sont détournées des fournisseurs américains.

Est- ce que tous les transferts vers les États-Unis vont être interdits ?

Conformément au RGPD, le principe est l’interdiction des transferts, ils pourront toutefois être poursuivis dans les cas suivants :
- Les transferts concernent les cas de dérogations énumérées à l’article 49 du RGPD dont les transferts non répétitifs et occasionnels ou fondés sur l’exécution d’un contrat conclu entre la personne concernée et une entreprise américaine (exemple réservation d’une chambre d’hôtel ou d’un billet d’avion).
- Des outils juridiques peuvent également être mis en place : Clauses contractuelles types ou des règles d’entreprises contraignantes (BCR).

Est-ce que les transferts fondés sur les Clauses contractuelles types restent possibles ?

Pour l’instant oui car la CJUE ne les a pas invalidés mais ils vont probablement être impactés pour les mêmes raisons qui ont présidées à l’invalidation du Privacy Shield.

De nouvelles obligations pourraient être mises à la charge des entreprises qui pourraient avoir à  :
- Déterminer si les lois sur la protection des données du pays destinataire ne fournissent pas une protection adéquate aux personnes concernées et prendre des mesures pour compenser ces défaillances qui s’ajoutent aux protections offertes par les clauses contractuelles types. Ces mesures incluent la garantie que les personnes concernées ont des droits opposables et ont accès à des recours juridiques efficaces.
- Les responsables du traitement des données devraient suspendre ou mettre fin au transfert de données de l’UE vers les États-Unis où le responsable du traitement ou le sous-traitant ne peut pas prendre de telles mesures supplémentaires pour garantir des protections adéquates.

De quelles alternatives disposent les entreprises ?

La solution la plus simple, est de passer à des services hébergés en Europe dès que possible, pour limiter tout risque juridique.

Le collectif #PlayFrance.digital qui appelle à une action nationale et collective pour une Europe forte en Numérique a réalisé un mapping des acteurs français du Numérique qui peuvent proposer des alternatives aux solutions américaines dans tous les domaines : hébergeurs, de navigateurs, de serveurs de courriels, de moteurs de recherche, de solutions de collaboration, de systèmes de transferts de fichiers, de solutions de cybersécurité et même de systèmes d’exploitation…
L’invalidation du Privacy Shield pourrait ainsi être une formidable opportunité dont les pouvoirs publics et les organisations devraient s’emparer pour bâtir notre souveraineté numérique.

Quels délais pour réagir ?

La question reste posée, il est probable qu’un délai de transition sera accordé aux organisations comme cela avait été le cas lors de l’annulation du Safe Harbor.

La Cnil a indiqué dans un communiqué du 17 juillet dernier procéder à une étude avec les autorités de contrôles européennes, afin d’en tirer dans les meilleurs délais les conséquences sur les transferts vers les États-Unis.

Que doivent faire concrètement les organisations françaises et européennes ?

Les organisations doivent examiner leurs pratiques et vont devoir rechercher des alternatives appropriées, pour cela elles devraient rapidement :
- Cartographier les données et les lieux de stockage. (localisation des serveurs et de tous les outils et applications tierces)
- Recenser tous les services tiers auxquels elles ont recours.
- Lister tous les transferts de données.
- Demander aux services tiers la communication de leurs transferts et des listes de sous-traitants.
- Vérifier les fondements juridiques de tous les transferts (les leurs et ceux de leurs sous-traitants).
- Documenter les transferts (rassembler contrats, clauses et politiques de confidentialité).
- Évaluer les alternatives pour tous les transferts fondés sur le Privacy Shield
- Privilégier les solutions françaises et européennes
- Adopter les clauses contractuelles types avec prudence.
- Envisager les possibles évolutions dans tous les transferts de données hors Europe


Isabelle DELAGE, Avocat - Data Protection Officer,