20 juillet 2020
Le 16 juillet 2020 la justice européenne a invalidé, à grand bruit, l’accord « Privacy Shield » qui permettait sans aucune formalité le transfert de données personnelles de l’Union européenne vers les Etats-Unis et cela va sans aucun doute impacter toutes les organisations européennes. (Arrêt dans l’affaire dite « Schrems II C-311/18)
Privacy Shield est un accord entre l’UE et les États-Unis, qui était en vigueur depuis le 12 juillet 2016, qui permettait le transfert de données personnelles de l’UE vers les États-Unis.
Privacy Shield a créé un mécanisme nommé « Bouclier de protection des données » par lequel les entreprises participantes étaient considérées comme bénéficiant d’une protection adéquate. Privacy Shield était très controversé notamment par les professionnels de la protection des données qui connaissaient bien ses failles et défauts.
Les origines de l’affaire remontent en 2013 lorsqu’Edward Snowden a révélé au monde le scandale des transmissions de données par des sociétés américaines, dans le cadre de programmes de surveillance américains.
À cette époque les transferts de données entre l’Europe et les États-Unis étaient fondés sur le Safe Harbor, schéma d’auto-certification des sociétés américaines.
Dans le même temps, l’autrichien Maximilian Schrems, fervent défenseur de la protection de la vie privée, avait entamé un combat contre les transferts de données vers les EU et plus spécifiquement contre Facebook.
Son combat justifié par le conflit entre les lois de surveillance américaines, qui permettent l’accès aux données personnelles d’européens, et celles de l’UE qui exigent la confidentialité, avait débouché sur un premier arrêt fondamental de la Cour de Justice (C-362/14) du 6 octobre 2015, par lequel elle a déclaré invalide le mécanisme de Safe Harbor.
Pour faire court, parce que la confidentialité des données transférées aux États-Unis n’est pas garantie.
Plus juridiquement, la Cour de justice européenne a estimé que les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis, portant sur l’accès et l’utilisation par les autorités publiques américaines, des données transférées, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire..
Toutes les organisations qui s’appuient sur le Privacy Shield pour justifier les flux de données vers les États-Unis devront obligatoirement ajuster leurs pratiques pour maintenir la légalité des flux de données et éviter toute action en justice en Europe.
Environ 5 300 entreprises américaines s’appuient sur le Privacy Shield et donc des milliers d’organisations européennes qui utilisent leurs solutions.
Cela représente un enjeux financier de dizaines de milliards d’euros.
Si des données sont transférées sans cadre légal, les organisations qui sont responsables des données qu’elles traitent s’exposent à des plaintes des personnes dont les données sont transférées (clients, salariés, fournisseurs etc.) et à des sanctions financières lourdes (amendes de jusqu’à 4 % du CA mondial).
En clair c’est une bombe qui va bouleverser, voire arrêter dans de nombreux cas, les transferts de données entre l’UE et les États-Unis.
Cela s’est déjà produit après l’annulation du Safe Harbor où les entreprises se sont détournées des fournisseurs américains.
Conformément au RGPD, le principe est l’interdiction des transferts, ils pourront toutefois être poursuivis dans les cas suivants :
Les transferts concernent les cas de dérogations énumérées à l’article 49 du RGPD dont les transferts non répétitifs et occasionnels ou fondés sur l’exécution d’un contrat conclu entre la personne concernée et une entreprise américaine (exemple réservation d’une chambre d’hôtel ou d’un billet d’avion).
Des outils juridiques peuvent également être mis en place : Clauses contractuelles types ou des règles d’entreprises contraignantes (BCR).
Pour l’instant oui car la CJUE ne les a pas invalidés mais ils vont probablement être impactés pour les mêmes raisons qui ont présidées à l’invalidation du Privacy Shield.
De nouvelles obligations pourraient être mises à la charge des entreprises qui pourraient avoir à :
Déterminer si les lois sur la protection des données du pays destinataire ne fournissent pas une protection adéquate aux personnes concernées et prendre des mesures pour compenser ces défaillances qui s’ajoutent aux protections offertes par les clauses contractuelles types. Ces mesures incluent la garantie que les personnes concernées ont des droits opposables et ont accès à des recours juridiques efficaces.
Les responsables du traitement des données devraient suspendre ou mettre fin au transfert de données de l’UE vers les États-Unis où le responsable du traitement ou le sous-traitant ne peut pas prendre de telles mesures supplémentaires pour garantir des protections adéquates.
La solution la plus simple, est de passer à des services hébergés en Europe dès que possible, pour limiter tout risque juridique.
Le collectif #PlayFrance.digital qui appelle à une action nationale et collective pour une Europe forte en Numérique a réalisé un mapping des acteurs français du Numérique qui peuvent proposer des alternatives aux solutions américaines dans tous les domaines : hébergeurs, de navigateurs, de serveurs de courriels, de moteurs de recherche, de solutions de collaboration, de systèmes de transferts de fichiers, de solutions de cybersécurité et même de systèmes d’exploitation…
L’invalidation du Privacy Shield pourrait ainsi être une formidable opportunité dont les pouvoirs publics et les organisations devraient s’emparer pour bâtir notre souveraineté numérique.
La question reste posée, il est probable qu’un délai de transition sera accordé aux organisations comme cela avait été le cas lors de l’annulation du Safe Harbor.
La Cnil a indiqué dans un communiqué du 17 juillet dernier procéder à une étude avec les autorités de contrôles européennes, afin d’en tirer dans les meilleurs délais les conséquences sur les transferts vers les États-Unis.
Les organisations doivent examiner leurs pratiques et vont devoir rechercher des alternatives appropriées, pour cela elles devraient rapidement :
Cartographier les données et les lieux de stockage. (localisation des serveurs et de tous les outils et applications tierces)
Recenser tous les services tiers auxquels elles ont recours.
Lister tous les transferts de données.
Demander aux services tiers la communication de leurs transferts et des listes de sous-traitants.
Vérifier les fondements juridiques de tous les transferts (les leurs et ceux de leurs sous-traitants).
Documenter les transferts (rassembler contrats, clauses et politiques de confidentialité).
Évaluer les alternatives pour tous les transferts fondés sur le Privacy Shield
Privilégier les solutions françaises et européennes
Adopter les clauses contractuelles types avec prudence.
Envisager les possibles évolutions dans tous les transferts de données hors Europe