Privacy Shield versus La Cour Européenne de Justice

En Juillet 2020, La Cour de Justice Européenne s’est prononcée sur un accord majeur concernant le transfert de données de citoyens européens vers les États-Unis. Ainsi, la Cour de Justice de l’Union Européenne (CJUE) a invalidé sa décision 2016/1250 sur l’adéquation de la protection fournie par le cadre du Privacy Shield EU-US. Le Privacy Shield est utilisé en particulier par les grandes entreprises américaines du numérique, dont beaucoup ont leurs sièges en Irlande, pour traiter les données personnelles des utilisateurs basés en Europe.

Du Safe Harbour au Privacy Shield: L’arrêt Schrems de la CJUE d’octobre 2015 n’a pas seulement déclaré invalide la décision de la Commission européenne concernant le régime de transfert de données du « Safe Harbour » UE–États-Unis, il a également statué sur le nombre d’exigences cruciales constituant les fondations de la protection des données de l’Union européenne. L’accord du Safe Harbour (sphère de sécurité) reposait sur l’affirmation que les transferts de données personnelles d’Europe vers les Etats-Unis étaient possibles car ce pays présentait des garanties suffisantes pour la protection de la vie privée. Les révélations sur les programmes de surveillance de masse de la NSA (National Security Agency) américaine montraient que les données personnelles des Européens n’étaient pas protégées, dès lors qu’elles étaient stockées aux Etats-Unis.

Les principes de privacité derrière le Privacy Shield comprenaient : le principe information sur les types de données personnelles collectées, le principe du choix d’accepter de partager ses données à des tiers, le principe d’intégrité des données, l’obligation d’assurer la sécurité des données, l’obligation de protéger les données lorsque celles-ci sont transférées, le droit d’être informé(e) des transferts, le droit d’accès, de rectification et de suppression des données transférées.

Privacy Shield: Les cadres Privacy Shield EU-US et Suisse-US ont donc été conçus par le Département de Commerce des États-Unis, la Commission Européenne et le gouvernement Suisse, pour fournir aux entreprises des deux côtés de l’Atlantique un mécanisme pour être conforme avec les exigences de protection de l’information. Il s’agit de l’information à caractère personnel, contenue dans les échanges à partir de l’Union Européenne et La Suisse vers les Etats-Unis, en support du commerce transatlantique.

Mais le citoyen autrichien Max Schrems, oui, le même Monsieur Schrems de l’arrêt Schrems de la CJUE de 2015, défenseur de la privacité des données personnelles, a contesté l’accord Privacy Shield en argumentant que les lois américaines sur la sécurité nationale ne protégeaient pas les citoyens de l’Union Européenne contre l’espionnage du gouvernement américain.

La motivation de cette affaire a été en partie provoquée par des fuites de l’ex-analyste de la CIA Edward Snowden, qui ont révélé l’étendue de la surveillance américaine.

Quant à la loi européenne sur la protection des données, elle stipule que les données ne peuvent être transférées hors de l’UE – aux États-Unis ou ailleurs – que si des garanties appropriées sont en place (Art. V du RGPD).

Dans l’arrêt de l’affaire C-311/18 Data Protection Commisionner/Maximilian Schrems et Facebook Ireland, publié dans le communiqué de presse No. 91/20 du 16 juillet 2020, la CJUE indique :

Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, et que la Commission a évaluées dans la décision 2016/1250, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.

Et maintenant …

Selon l’Institut Européen University College London, plus de 5,300 entreprises utilisent le bouclier Privacy Shield, 65% d’entre-elles sont des PME.

Les entreprises concernées devront désormais signer des « clauses contractuelles types », des contrats juridiques non négociables établis par l’Europe, qui sont utilisés dans d’autres pays que les États-Unis.

Monsieur Schrems avait également contesté la validité des CCT (Clauses Contractuelles Type), mais la CJUE a choisi de ne pas les abolir. Mais elle a averti que ces contrats devraient être suspendus par les régulateurs (CNIL en France) de la protection des données si les garanties qu’ils contiennent ne sont pas respectées.

D’après la CNIL, « Les Clauses Contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission Européenne ».

On distingue les Clauses Contractuelles Types encadrant les transferts

• Entre deux responsables de traitement;
• Entre un responsable de traitement et un sous-traitant.

Etapes de la mise en place des Clauses Contractuelles Types

• Identifiez les parties : Cartographiez les différents transferts de données personnelles effectuées et identifiez les Clauses Contractuelles Type adaptées à votre cas (CCT de responsable de traitement à responsable de traitement ou de responsable de traitement à sous-traitant ?)
• Complétez les Clauses Contractuelles Types : Complétez les Clauses Contractuelles Types (notamment les Annexes sur la description des transferts)
• Effectuez les démarches nécessaires auprès de La CNIL : Transmettez les clauses à la CNIL uniquement dans le cas où vous avez modifié le contenu des modèles officiels de l’Union Européenne.

Les clauses contractuelles types (CCT) seront désormais examinées beaucoup plus attentivement.

En Août 2020, le Département du Commerce des Etats-Unis et Commission Européenne ont initié des discussions pour évaluer le potentiel d’un accord Privacy Shield amélioré qui serait conforme à la décision de Juillet 2020.

Vous souhaitez vous faire accompagner dans la mise en conformité réglementaire ? Les équipes iDNA peuvent vous aider.