Le 23 juillet 2020, le Comité Européen à la Protection des Données (CEPD) a publié une FAQ sur les conséquences de l’arrêt de la CJUE du 16 juillet 2020 (Schrems 2).
Cet arrêt invalide le Privacy Shield, un mécanisme de transfert de données entre l’UE et les États-Unis, et conditionne la validité des clauses contractuelles types (CTT), un autre mécanisme de transfert, à l’analyse préalable du niveau de protection assuré par le pays tiers destinataire et à la mise en œuvre de mesures supplémentaires si nécessaire.
Cette FAQ donne un aperçu de la position des autorités suite à la décision de la CJUE qui remet en cause la possibilité de transférer des données à caractère personnel aux États-Unis. Toutefois, les réponses apportées par le CEPD demeurent peu précise mais il travaille actuellement sur des recommmandations plus détaillées qui devraient être publiées prochainement.
Ainsi, le CEPD considère que :
- Les organisations devraient suspendre les transferts de données vers les États-Unis ou informer leur autorité de surveillance si elles ont l’intention de continuer à transférer les données , s’il n’est pas possible (i) de prévoir des mesures supplémentaires pour garantir que le droit américain n’affecte pas l’efficacité des CCT ou des BCR (ou du code de conduite/des certifications), ou (ii) de recourir aux dérogations prévues à l’article 49 GDPR ;
- Les organisations doivent également vérifier la législation du pays tiers vers lequel elles ont l’intention de transférer des données à caractère personnel afin de s’assurer que le transfert est conforme aux exigences de la Cour. Si aucune base légale appropriée de transfert vers un pays tiers ne peut être trouvée, les données à caractère personnel ne doivent pas être transférées en dehors du territoire de l’EEE et toutes les activités de traitement doivent avoir lieu dans l’EEE.
Vous trouverez ci-dessous un résumé de la FAQ. Pour une lecture complète de la FAQ, cliquez ici (en anglais)
Qu’a décidé la Cour dans son arrêt ?
Dans son arrêt, la Cour a d’abord considéré que la décision 2010/87/CE de la Commission européenne sur les CCT était valide. Toutefois, la Cour a confirmé la validité des CTT uniquement du fait qu’elles prévoient des mécanismes efficaces permettant la suspension du transfert lorsque l’importateur de données ne peut pas se conformer aux dispositions de ces dernières.
Par conséquent, même si elles peuvent être utilisées pour encadrer de transferts de données, la Cour n’autorise pas nécessairement les transferts de données vers les États-Unis sur la base des CTT.
La Cour a également invalidé la décision « Privacy Shield » (décision 2016/1250 sur le caractère adéquat de la protection assurée par le « Privacy Shield » UE-USA) pour les raisons suivantes :
- Les lois américaines, en particulier les programmes de renseignement permettant l’accès des autorités publiques américaines aux données à caractère personnel transférées de l’UE vers les États-Unis, ne sont pas circonscrites de manière à satisfaire à des exigences essentiellement équivalentes à celles requises par le droit communautaire ; et
- Cette législation n’accorde pas aux personnes concernées des recours devant les tribunaux contre les autorités américaines. (voir ici pour une analyse complète de la décision).
Que devraient faire les organisations si elles transféraient maintenant des données à des destinataires américains adhérant au Privacy Shield ?
Tout transfert de données vers les États-Unis sur la base du Privacy Shield est désormais illégal avec effet immédiat. Les organisations doivent trouver d’autres mécanismes de transfert sur lesquels s’appuyer. (Toutefois, il n’y a pas encore de réponse claire à cette question, voir ci-dessous).
Puis-je encore transférer des données aux États-Unis sur la base des CTT ou des BCR ?
La Cour a estimé que le droit américain (c’est-à-dire la section 702 de la FISA et le décret 12333) n’assure pas un niveau de protection essentiellement équivalent.
Cette évaluation s’applique à la fois aux CTT et aux BCR puisque le droit américain prévaudra également sur cet outil.
Selon le CEPD, si une organisation souhaite continuer à transférer des données vers les États-Unis, elle doit vérifier si elle peut le faire dans les conditions définies ci-dessous :
- L’exportateur de données doit procéder à une évaluation du niveau de protection fourni par le pays tiers destinataire, en tenant compte des circonstances des transferts et des mesures supplémentaires qui pourraient être mises en œuvre ;
- Les mesures complémentaires et les CTT ou BCR devraient garantir que le droit américain n’empiète pas sur le niveau de protection adéquat qu’ils garantissent. Toutefois, nous ne savons pas en quoi ces mesures pourraient consister, le CEPD y travaille actuellement.
Si, à l’issue de l’évaluation, l’exportateur de données conclut qu’il ne peut pas offrir des garanties appropriées, il est tenu de suspendre ou de mettre fin au transfert de données à caractère personnel. Toutefois, si l’exportateur de données a l’intention de continuer à transférer des données malgré cette conclusion, il doit en informer son autorité de contrôle compétente.
Commentaires : En pratique, nous pensons qu’à partir de maintenant et à moins que le CEPD ne trouve des mesures appropriées, la plupart des transferts de données vers les États-Unis sont désormais illégaux, quels que soient les mécanismes de transfert utilisés par les organisations, sauf lorsqu’une dérogation prévue à l’article 49 s’applique. Cependant, il est difficile de prendre la décision de suspendre les transferts vers les États-Unis car la plupart des entreprises européennes dépendent de sociétés technologiques américaines (AWS, Microsoft, etc.) pour mener leurs activités.
Puis-je continuer à utiliser les CTT ou les BCR pour transférer des données vers un autre pays tiers que les États-Unis ?
Les CTT ou les BCR peuvent toujours être utilisés pour transférer des données vers un pays tiers.
Toutefois, le seuil fixé par la Cour pour les transferts vers les États-Unis s’applique à tout autre pays tiers. Il en va de même pour les BCR. Par conséquent, la réponse fournie ci-dessus pour les transferts vers les États-Unis est applicable.
Les organisations devraient, si ce n’est déjà fait, identifier les pays vers lesquels elles transfèrent des données (accès à distance inclus) et vérifier pour chaque pays le niveau de protection accordé dans ces derniers et le risque que les mécanismes de transfert ne soient pas efficaces.
Commentaires : D’après l’évaluation faite par la CJUE concernant le droit américain (voir ici), il peut s’avérer très difficile pour une organisation autre que les autorités judiciaires/publics d’obtenir les informations nécessaires pour mener une évaluation correcte du niveau de protection fourni par un pays spécifique.
Bien qu’il n’existe pas de position officielle sur ce sujet, on peut supposer que les pays considérés comme fonctionnant dans le cadre d’un système autoritaire ou non démocratique disposent de lois rendant les dispositions des CSC ou des BCR inefficaces (par exemple, la Chine, la Russie, la Corée du Nord, etc.).
Puis-je me prévaloir d’une des dérogations de l’article 49 du RGPD à la place ?
Il est toujours possible de transférer des données de l’EEE vers les États-Unis sur la base des dérogations prévues à l’article 49 du RGPD.
Toutefois, le CEPD rappelle que les exportateurs de données ne doivent recourir aux dérogations que dans des situations spécifiques et que chaque exportateur de données doit s’assurer que le transfert répond au critère strict de nécessité afin que le recours à ces dérogations ne devienne pas la règle.
Le CEPD rappelle également que même si le RGPD n’exige pas toujours explicitement que le transfert soit occasionnel, les responsables du traitement ne doivent pas se prévaloir de dérogations lorsque le transfert a lieu à grande échelle et de manière systématique.
En outre, le fait de se fonder sur un consentement explicite implique que le consentement doit être spécifique, informé, non ambigu et donné librement, et que les responsables du traitement doivent fournir des informations supplémentaires sur le risque.
Lorsque le transfert est nécessaire à l’exécution d’un contrat, le transfert doit être occasionnel et, il doit être objectivement nécessaire à l’exécution de l’accord entre la personne concernée et le responsable du traitement (c’est-à-dire qu’il ne doit pas avoir lieu uniquement en raison de l’organisation des responsables du traitement).
Que puis-je faire pour continuer à utiliser les services de mon sous-traitant si le contrat signé conformément à l’article 28.3 du RGPD indique que les données peuvent être transférées aux États-Unis ou dans un autre pays tiers ?
Si des données peuvent être transférées aux États-Unis et qu’aucune mesure supplémentaire ne peut être mise en place, ni aucune dérogation de l’article 49 du RGPD ne s’applique, les organisations doivent négocier un avenant à leur contrat de service afin d’interdire les transferts vers les États-Unis. Les données doivent être non seulement stockées mais aussi administrées ailleurs qu’aux États-Unis.
Si des données peuvent être transférées vers un autre pays tiers, les organisations doivent vérifier la législation de ce pays tiers pour s’assurer qu’elle est conforme aux exigences de la Cour et au niveau de protection des données personnelles attendu. Si l’exportateur de données ne trouve pas de motif approprié pour le transfert vers un pays tiers, ce transfert (y compris l’accès à distance) ne doit pas avoir lieu.
