Décision de la cour de Justice de l’Union Européenne du 16 juillet 2020 Affaire C‑311/18
Communiqué de presse https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fr.pdf
La décision tant attendue et redoutée dans l’affaire « Shrems II » vient de tomber. La Cour de Justice de l’Union Européenne vient d’invalider le Privacy Shield ! … mais dieu merci pas les Clauses Contractuelles Types.
Pourquoi est-ce important ?
Le Règlement Général relatif à la Protection des Données « RGPD », dispose que le transfert de données hors de l’UE vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données.
Par « transfert » on entend l’hébergement de données dans le pays tiers, la communication de données à un opérateur économique dans un pays tiers, l’accès (même simplement technique) aux données par un opérateur économique dans un pays tiers et/ou, plus généralement, toute forme d’utilisation des données par un opérateur économique dans un pays tiers.
Selon ce RGPD, la Commission Européenne peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat.
En l’absence d’une telle décision, des garanties appropriées doivent être mises en place telles de définies dans le RGPD.
Pour rappel, cette réglementation s’applique non seulement dans l’UE, mais aussi dans les trois pays qui forment l’Espace Economique Européen ou « EEE » avec l’UE (l’Islande, la Norvège et le Lichtenstein).
Toujours pour rappel, les manquements aux règles sur les transferts internationaux peuvent être sanctionnés par l’autorité de contrôle par une sanction pouvant aller jusqu’à 2 millions d’euros ou 4 % du chiffre d’affaires mondial. De plus, l’autorité peut suspendre ou interdire le transfert.
Qu’est-ce que le Privacy Shield ?
Le Privacy Shield est un programme de conformité conclu entre l’UE et les USA que la Commission a jugé adéquat pour permettre le transfert des données personnelles aux sociétés américaines qui y adhèrent. Le même programme existe entre la Suisse et les USA.
A ce jour, 5.378 entreprises ou groupes d’entreprises américaines, et pas des moindres, ont adhéré au Privacy Shield.
L’invalidation du programme
La CJUE avait déjà annulé le prédécesseur du Privacy Shield, le « Safe Harbor » dans une décision du 6 Octobre 2015 (affaire C-362/14 dite « Schrems I »), notamment suite aux révélations de M. Snowden sur les pratiques de la NSA.
Cette décision avait été une surprise incroyable.
Cette fois encore, la CJUE conteste le niveau de protection offert par le système péniblement négocié entre l’UE et les USA. Dans sa décision du 16 juillet 2020 dans l’affaire C‑311/18 dite « Schrems II », elle a invalidé le Privacy Shield.
Les deux actions ayant abouti à l’invalidation ont été initiées par un autrichien devenu célébré depuis, Max Schrems.
Les Clauses Contractuelles Types restent valides
La CJEU, qui devait aussi trancher sur leur validité, n’a en revanche pas invalidé les « clauses contractuelles types » ou « CCT », qui sont des contrats types publiés par la Commission Européenne permettant le transfert de données personnelles d’un « exportateur » européen vers un « importateur » non européen.
Il est donc toujours possible de transférer les données vers les USA (comme vers tous les autres pays qui ne bénéficient pas d’une décision d’adéquation de la Commission Européenne) sur la base des CCT.
Restrictions aux transferts : action des autorités nationales
La CJUE, dans son communiqué de presse, rappelle que les autorités de contrôle, telles que la CNIL en France, « sont notamment obligées de suspendre ou d’interdire un transfert de données personnelles vers un pays tiers lorsqu’elles estiment, au regard des circonstances propres à ce transfert, que les [CCT] ne sont pas ou ne peuvent pas être respectées dans ce pays et que la protection des données transférées, requise par le droit de l’Union, ne peut pas être assurée par d’autres moyens, à défaut pour l’exportateur établi dans l’Union d’avoir lui-même suspendu ou mis fin à un tel transfert ».
Restrictions aux transferts obligation incombant aux entreprises
Comme le rappelle la CJEU dans son communiqué de presse, les CCT instaurent « une obligation pour l’exportateur des donnés et le destinataire du transfert de vérifier, au préalable, que ce niveau de protection est respecté dans le pays tiers concerné et [obligent] ce destinataire à informer l’exportateur des données de son éventuelle incapacité de se conformer aux clauses types de protection, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu avec le premier ».
Les « exportateurs » situés dans l’UE doivent donc prendre en compte le niveau moindre de protection du pays de destination et minimiser leurs transferts.
Bientôt de nouvelles Clauses Contractuelles Types
Une nouvelle version des CCT, après mise en conformité au RGPD, devrait être publiée bientôt . On peut espérer que cette publication comble en vide et comprenne aussi des clauses de sous-traitant EU à sous-traitant pays tiers ou mieux encore des transferts à expéditeurs et/ou destinataires multiples.
Qu’y a-t-il à faire ?
Les entreprises qui ont organisé des transferts de données personnelles sur la seule base du Privacy Shield et devront donc mettre en place d’autres garanties pour le transfert, parmi lesquelles conclure des CCT (et les mettre à jour le cas échéant) ou mettre en place des règles d’entreprise contraignantes ou « BCR ».
Elles doivent, davantage encore que par le passé, s’efforcer d’ajuster/minimiser leurs transferts en fonction des pays destinataires, de la sensibilité des données en question et des mesures de sécurité.
Nos équipes spécialisées en protection des données personnelles sont à votre disposition pour vous aider dans cette démarche.