Quand la CJUE frappe de nouveau sur les transferts de données hors UE…
En bref :
Ce jeudi 16 juillet 2020, la CJUE a invalidé le Privacy Shield, connu également sous le nom de Bouclier de Protection des Données.
Pour rappel, le Privacy Shield était un mécanisme d’auto-certification reconnu par la Commission européenne comme offrant un niveau adéquat de protection des données personnelles transférées par une entité européenne vers une entité américaine. En somme, ce mécanisme présentait des garanties juridiques suffisantes pour de tels transferts.
La minute historique :
Maximilian Schrems, activiste autrichien militant pour la protection des données personnelles, après avoir déposé une plainte en octobre 2015 a obtenu l’invalidation de l’accord baptisé Safe Harbor. Cet accord encadrait le transfert des données des internautes européens à destination des Etats-Unis et leur utilisation par les entités américaines. Véritable bis repetita, par son arrêt rendu en grande chambre ce 16 juillet 2020, la Cour invalide la décision relative à l’adéquation de la protection assurée par le Bouclier de protection des données UE-Etats-Unis. Cependant, elle juge que la décision de la Commission relative aux clauses contractuelles types encadrant le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers est valide.
Ce qui va changer avec l’invalidation du Privacy Shield :
L’invalidation du Privacy Shield n’était en réalité qu’une question de temps. Il n’en demeure pas moins que cette invalidation va, dans la pratique, générer certains changements.
Les entreprises qui utilisaient le Privacy Shield vont devoir se rabattre sur d’autres mécanismes permettant le transfert de données en dehors de l’UE vers les autres pays en utilisant les clauses contractuelles types (CCT) ou bien les Règles d’Entreprise Contraignantes –(BCR). Il s’agit d’un modèle de contrat que la Commission européenne a défini, que toute entreprise peut utiliser pour exporter ses données.
Outre le mécanisme d’encadrement des transferts qui doit être revu, les organismes dont les transferts hors UE se basaient uniquement sur le Privacy Shield vont devoir mettre à jour leur registre et informer les personnes concernées des changements opérés sur le traitement de leurs données.
Cette décision marque en apparence un tournant et semble inviter les entreprises à utiliser en masse les clauses contractuelles types. Mais une nuance est à apporter : les mécanismes d’encadrement type CCT ou BCR ne constituent pas une panacée. Il est nécessaire de mettre en place une réelle démarche de conformité en vue de s’assurer de droits et recours effectifs pour les personnes concernées dont les données sont exportées aux Etats-Unis.
Coralie CHENAIL – Consultante RGPD