Comment gérer l’insécurité juridique liée à l‘invalidation du Privacy Shield ?
La CJUE a invalidé la décision d’adéquation « Privacy Shield », dans l’arrêt dit « Schrems II » du 16 juillet 2020, qui permettait le transfert de données entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données sans autre formalité.
Par conséquent, les entreprises souhaitant continuer à transférer des données à caractère
personnel depuis l’Europe vers les Etats-Unis, sont contraintes de trouver une nouvelle base de légitimité à leurs transferts.
Pour rappel, un transfert de donnée à caractère personnel vers un pays non membre de l’Union Européenne est licite s’il respecte les dispositions des articles 44 et suivantes du RGPD.
Les transferts vers les Etats Unis ne pouvant plus être fondée sur la décision d’adéquation
susmentionnée, il convient d’envisager une autre base légale à ces transferts.
Il existe trois autres mécanismes qui peuvent être envisagés :
- les clauses contractuelles types (CCT) définies à l’article 46,
- les règles d’entreprises contraignantes (BCR) définies à l’article 47,
- les dérogations pour les situations particulières de l’article 49.
Concernant les CCT ou les BCR, les programmes de surveillances américains (Foreign Intelligence Surveillance Act (FISA) de 1978 et l’Executive Order (E.O.) de 1981), qui permettent à des agences de renseignement de collecter et traiter massivement des données, y compris relatives à des résidents européens, ne sont pas compatibles avec les exigences du RGPD.
A souligner que toutes les entreprises américaines ne sont pas soumises à ces lois. Toutefois, celles-ci concernent a minima, pour l’article 702 du FISA, tout fournisseur de service de communication électronique, qui est défini de manière très large.
En conséquence, la seule conclusion de CCT ou de BCR ne pourra pas être suffisante si
l’entreprise visée est soumise aux législations susmentionnées. En effet, un acteur privé ne peut, a priori, se substituer à ces règlementations.
Dans certains cas, la solution pourrait être trouvée à l’article 49 du RGPD qui prévoit des
dérogations permettant les transferts dans des situations spécifiques. Il s’agit notamment des cas où la personne concernée y a donné son consentement, et de ceux où le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et le responsable du traitement.
Cependant, cet article doit être utilisé de manière occasionnel, et ne pourra justifier des transferts importants et réguliers.
Face à tant d’insécurité juridique, cette décision doit amener les entreprises et organismes
européens à repenser les transferts de données personnelles vers les Etats-Unis et tous les pays ne bénéficiant pas d’une décision d’adéquation.
Aucune période de grâce n’a été accordée, attendre un hypothétique changement de régulation aux Etats Unis ne parait donc pas être une solution à conseiller.