Invalidation du Privacy Shield : quels impacts pour l'export de données à l'étranger ?
Le 16 juillet dernier, la Cour de Justice de l’Union Européenne (CJUE) a invalidé la décision d’adéquation « Privacy Shield ». Les transferts effectués sur le fondement du bouclier de protection sont désormais illégaux !
Qu'est-ce que le Privacy Shield ?
Le Règlement général à la protection des données dit « RGPD », encadre les transferts de données personnelles vers des pays tiers à l’Union Européenne (UE) et l’Espace Economique Européen (EEE). Les transferts les plus aisés sont ceux fondés sur une décision d’adéquation émise par la Commission Européenne dans la mesure où il sont libres de tout formalisme et sont considérés comme bénéficiant d’un niveau de protection adéquat.
Depuis le 1er août 2016, les organismes traitants pouvaient se référer au Privacy shield afin de transférer des données personnelles vers les Etats-Unis, à condition que les entreprises destinataires des données se soient préalablement inscrites sur le registre tenu par l’administration américaine prévu à cet effet.
L’accord reposait sur un mécanisme d’auto-certification des organismes qui collectaient des données personnelles à des fins commerciales. Les organismes qui adhéraient au Privacy shield étaient ainsi réputés disposer d’un niveau de protection adéquat.
Que retenir de l'invalidation du Privacy Shield par la CJUE ?
Dans son arrêt du 16 juillet 2020, dit « Schrems II », la CJUE valide dans un premier temps le recours aux Clauses Contractuelles Types (CCT) de la Commission afin de procéder à un transfert de données.
Un tel mécanisme permet d’encadrer un transfert de données vers un pays tiers sans qu’il soit nécessaire d’obtenir une autorisation de la part de la CNIL ou de ses homologues.
Il est important de noter que le recours à ce dispositif semble périlleux concernant le cas étatsunien. Pour en savoir + sur le sujet, vous pouvez consulter notre guide dédié.
Dans un second temps, la CJUE invalide la décision d’adéquation du Privacy Shield, excluant ainsi les Etats-Unis du dispositif de transfert simplifié.
L’invalidation procède de deux raisons majeures :
- Les ingérences par les autorités américaines dans les droits fondamentaux des personnes concernées par le traitement de leur données ne sont pas limitées et n’offrent aucune garantie de recours aux citoyens européens ;
- Le mécanisme de médiation prévu par le Privacy Shield ne fournit pas de voie de recours effectif aux personnes concernées et ne confère pas accès à un tribunal impartial.
En définitive, l’accord du Privacy Shield ne permet pas d’assurer un niveau de protection substantiellement équivalent à celui de l’Union.
Quels sont les impacts de l'invalidation du Privacy Shield ?
Conséquence majeure de cette décision, les transferts de données personnelles soumis au respect du RGPD et à destination des Etats-Unis sont à présent illégaux s’ils sont fondés sur le Privacy Shield.
Est-il possible de poursuivre ses transferts de données aux USA malgré l'invalidation du Privacy Shield ?
D’autres mécanismes sont également mis en place par le RGPD afin de procéder à des transferts de données en l’absence de toute décision d’adéquation.
Pour l’heure, et dans l’attente de proposer des solutions adéquates, le CEPD préconise :
- De mettre en œuvre des mesures supplémentaires pour assurer un niveau de protection essentiellement équivalent à celui prévu dans l’EEE ;
- A défaut, suspendre immédiatement l’ensemble des transferts vers les Etats-Unis ;
- Concernant les contrats de sous-traitance, lorsqu’aucune mesure supplémentaire ne peut garantir un niveau de protection substantiellement équivalent, insérer des clauses d’interdiction de transfert.
Pour plus de renseignements sur les mécanismes applicables en matière de transfert de données personnelles, téléchargez nos fiches gratuites dédiées à ce sujet.