Le 16 Juillet 2020, la CJUE a rendu une décision de la plus haute importance : le « Privacy Shield », l’accord international qui encadrait le transfert de données à caractère personnel entre l’Union Européenne et les Etats-Unis, a été invalidé.
Cette décision est lourde de conséquences tant pour les opérateurs publics que les entreprises établis dans l’Union Européenne qui procèdent à des flux des données personnelles en direction des Etats-Unis, à raison des logiciels, applications, infrastructures ou plateformes qu’ils utilisent, ou pour l’exécution des accords conclus avec leurs partenaires (clients ou fournisseurs). En effet, en l’absence de ce « Bouclier de protection des données », les Etats-Unis ne peuvent plus être considérés comme un pays présentant un niveau de protection adéquat au sens du RGPD. Il est donc indispensable d’encadrer autrement les transferts de données personnelles vers ce pays.
Parallèlement, le Comité Européen de la Protection des Données (CEPD) a annoncé le 27 juillet 2020 qu’aucun délai de grâce ne serait accordé aux opérateurs européens. Autrement dit, l’invalidation du Privacy Shield est d’effet immédiat, et les organisations qui transfèrent des données vers les Etats-Unis sur la base de cet accord international doivent régulariser leur situation sans délai.
A cet égard, il convient de noter que dans sa décision du 16 juillet 2020, la CJUE a validé les Clauses contractuelles types (CCT) de 2010 relatives au transfert de données personnelles vers des sous-traitants établis dans des pays tiers. Ainsi, la conclusion d’une convention de flux entre l’importateur et l’exportateur de données personnelles semble être le choix le plus pertinent à ce jour pour sécuriser un transfert de données vers les Etats-Unis. Cette convention de flux devra respecter la teneur des Clauses contractuelles types et garantir la protection et les droits des personnes concernées au niveau du RGPD, dont le texte est plus récent que les actuelles clauses contractuelles types.
Néanmoins, les clauses contractuelles types n’ont pas non plus reçu un blanc-seing de la part de la CJUE. Celle-ci rappelle qu’il appartient à l’entité importatrice des données (le prestataire ou partenaire situé aux USA) d’alerter son cocontractant s’il ne lui apparaît pas possible de se conformer strictement aux exigences des clauses contractuelles types du fait de la législation américaine. Cela signifie qu’il incombe aux organisations françaises de « challenger » cette conformité.
Le CEPD préconise à cet égard la mise en place de « mesures supplémentaires », à envisager « au cas par cas », en prenant en compte « les circonstances du transfert » et « le résultat de l’étude menée sur la loi du pays de destination ». Le CEPD souligne à plusieurs reprises que la problématique doit être traitée en concertation par les responsables de traitement et leurs sous-traitants américains (ou les responsables de traitement destinataires des données aux USA).
Concrètement, les organisations françaises sont confrontées à des difficultés concrètes, et des choix difficiles à identifier et à mettre en œuvre. L’analyse des précisions du CEPD nous conduit à préconiser les actions suivantes à nos clients :
- Vérifier rapidement tous les contrats avec des prestataires, fournisseurs ou partenaires US qui s’appuyaient en tout ou partie sur le Privacy Shield, pour lister les transferts désormais à risques ;
- Vérifier parmi les cas identifiés ceux qui pourraient faire l’objet d’un arrêt de transfert ou d’une redirection vers un autre pays de niveau de protection équivalent, sans impact majeur sur l’entreprise, et ceux pour lesquels aucune alternative n’est viable actuellement ;
- Dans les cas où ni l’arrêt du transfert ni une alternative sécurisée ne sont envisageables à brève échéance, suggérer la conclusion rapide de convention de flux embarquant les clauses contractuelles types (RT-RT ou RT-ST) afin de pallier à la brèche de conformité créée par l’invalidation du Privacy Shield ;
- Vérifier, en fonction des traitements en cause, dans quelle mesure les données peuvent être pseudonymisées et/ou chiffrées avant leur transfert, sans laisser au prestataire, fournisseur ou partenaire le moyen technique de les déchiffrer et d’identifier les personnes concernées.