LA FIN DU PRIVACY SHIELD, ET APRES ?
Par un arrêt dit « Schrems II » en date du 16 juillet 2020, la Cour de justice de l’Union Européenne a invalidé le traité « Privacy Shield », sur lequel la majorité des entreprises fondaient jusqu’alors le transfert de données à caractère personnel en direction de sous-traitants ou de partenaires situés aux Etats-Unis.
Si cet arrêt a pour origine une plainte initiée par un avocat autrichien contre la société Facebook, dont l’hébergement des données aux Etats-Unis n’apporte pas, selon lui, de garanties suffisantes pour les droits et libertés des personnes, ses conclusions n’impactent pas seulement les GAFAM, mais toute entreprise basée aux Etats-Unis susceptible de traiter des données de citoyens européens (filiale d’une société européenne, prestataire de services d’hébergement, agence de voyage,…).
En effet, la Cour estime que le « Privacy Shield », tel qu’il a été adopté, n’apporte pas une protection suffisante pour les citoyens européens contre l’ingérence des services de surveillance américains, lesquels peuvent facilement avoir accès à des données à caractère personnel pour des raisons de sécurité nationale ou d’intérêt public, sans que les personnes concernées ne bénéficient en contrepartie de voies de recours satisfaisantes.
Cette situation ne semble pas prête de changer, puisque la décision de la CJUE ne prend en compte que la législation américaine permettant aux autorités locales d’accéder aux échanges électroniques entre individus, alors que le « Cloud Act » adopté le 6 février 2018 donne désormais accès aux données à caractère personnel stockées par des entreprises américaines dans des Datacenter, même situés hors des Etats-Unis.
A défaut de négociations susceptibles d’entrainer la signature à court terme par les Etats-Unis d’un traité remplaçant le « Privacy Shield », quelles options d’offrent aux entreprises ayant fondé toute ou partie de leur activité sur le transfert de données à caractère personnel vers les Etats-Unis ?
Le Règlement général sur la protection des données dresse la liste des garanties susceptibles de légitimer un transfert de données à caractère personnel hors de l’Union européenne. A défaut de décision d’adéquation prise par la Commission Européenne pour légitimer un transfert dans un pays tiers, les entreprises peuvent choisir de signer avec leur sous-traitant ou partenaire situé à l’étranger des clauses contractuelles types approuvées par la Commission ou des règles d’entreprise contraignantes, qui engageront chacun des signataires à respecter les obligations du droit de l’Union en matière de protection des données.
Cela étant, comme l’a rappelé l’arrêt « Schrems II », la simple signature d’un contrat bipartite ne suffit pas à valider un transfert de données à caractère personnel hors de l’Union Européenne, si le pays destinataire ne permet pas aux personnes concernées de disposer de droits opposables et de voies de recours effectives.
A ce stade, d’aucuns pourraient penser que les conclusions ayant mené à l’invalidation du « Privacy Shield » tendent à interdire ipso facto tout transfert de données aux Etats-Unis pris sur la base de clauses contractuelles types ou de règles d’entreprise contraignantes.
Deux mois après l’annulation du Privacy Shield, tant la Commission nationale informatique et liberté que la Commission européenne sont bien en peine d’apporter un quelconque éclairage sur les démarches à suivre pour palier à cette difficulté.
Le Comité européen de la protection des données a toutefois publié le 31 juillet 2020 de premières recommandations, lesquelles semblent laisser peu de marches de manœuvres aux entreprises.
Au nombre des solutions énoncées, la plus évidente apparaît être le rapatriement des données à caractère personnel vers un prestataire situé dans l’Union européenne. Toutefois, cette solution présente un coût de remplacement non négligeable et nécessite un délai incompressible de migration pendant lequel le traitement sera toujours couvert d’illégalité.
Le Comité ne ferme pas la voie au maintien de clauses contractuelles types, mais à condition de renforcer les engagements des parties pour protéger au mieux les personnes concernées et de prendre parallèlement des mesures techniques supplémentaires empêchant l’accès des autorités américaines aux données à caractère personnel. Les mesures susceptibles de répondre à cette exigence sont, selon le Comité, au nombre de deux :
– le cryptage des données, dont seule l’entreprise européenne possède la clé et qui ne peut être rompu par les services américains ;
– l’anonymisation ou la pseudonymisation des données, lorsque seule l’entreprise européenne peut procéder à l’identification de la personne.
Autant dire que cette option remet en cause l’objet même de la majorité des contrats informatiques, dont l’intérêt consiste en un traitement des données par la société destinataire…
Les dérogations offertes par l’article 49 du Règlement général sur la protection des données, en cas notamment de consentement explicite obtenu de la personne concernée, ne sont pas plus satisfaisantes pour palier à l’absence de garantie, puisqu’elles ne peuvent s’appliquer que pour des traitements « occasionnels ».
Face à ce marasme actuel, nous ne pouvons que recommander aux entreprises concernées de faire preuve de proactivité, en s’efforçant a minima de renforcer les obligations des parties par une renégociation des contrats, tout en entamant des démarches vers un rapatriement des données dans l’Union Européenne ou la mise en œuvre de mesures techniques supplémentaires.
Virginie PERDRIEUX
Cabinet JURISEXPERT