Par Thierry Dor, associé, et Laura Mallard, élève-avocat, Gide

L’invalidation du Privacy Shield et l’encadrement des clauses contractuelles types (CCT)

En 2016, le Privacy Shield a été reconnu par la Commission européenne comme un mécanisme offrant un niveau de protection adéquat pour les transferts de données personnelles de l’UE vers les entreprises établies aux Etats-Unis qui y adhèrent. Le Privacy Shield était destiné à remplacer le Safe Harbor, un autre mécanisme de transfert des données personnelles de l’UE vers les Etats-Unis, que la CJUE venait d’annuler pour non-respect des exigences européennes en matière de protection des données personnelles. Pour rappel, plus de 5 000 entreprises américaines s’appuient sur le Privacy Shield pour recevoir des données en provenance de l’UE dans le cadre de relations intragroupes, ou pour fournir des services à des entreprises européenne. Par ailleurs, un nombre considérable d’entreprises établies dans l’UE se repose sur le Privacy Shield pour transférer des données personnelles aux Etats-Unis.

Dans sa décision, la CJUE considère que le Privacy Shield ne permet pas d’assurer un niveau de protection substantiellement équivalent à celui requis par le RGPD et la Charte des droits fondamentaux de l’UE (la «Charte»).

Pour motiver l’invalidation du Privacy Shield, la CJUE relève que ce mécanisme ne prévoit pas les limitations et garanties requises à l’égard des ingérences autorisées par les programmes de surveillance de masse américains, ce qui ne permet pas de limiter cette ingérence au strict nécessaire.

Par ailleurs, le Privacy Shield ne propose pas de voie de recours devant les tribunaux pour les personnes non américaines potentiellement visées, alors que les Américains disposent de ce droit.

La CJUE émet également des réserves sur le rôle du médiateur (ombudsperson en anglais) instauré par le Privacy Shield, dès lors que ce dernier ne peut prendre de décision contraignante à l’égard des services de renseignement américains, et considère qu’il ne peut valablement se présenter comme indépendant compte tenu de ses liens avec le Département d’Etat des Etats-Unis.

L’annulation du Privacy Shield n’est cependant pas surprenante, la majorité des griefs de la CJUE ayant déjà été énoncés à plusieurs reprises par le G29, le groupe des autorités en charge de la protection des données dans l’UE (les «autorités») qui existait avant l’application du RGPD.

La CJUE se livre aussi à l’analyse des CCT, un autre instrument de transfert de données hors UE, mis en place par la Commission européenne. Il existe en réalité trois modèles de CCT, mais seul l’un de ces modèles fait l’objet de la décision de la CJUE : celui adopté en 2010 pour le transfert de données personnelles vers des sous-traitants établis hors UE.

La CJUE rappelle que les CCT ne lient pas, en raison de leur caractère contractuel, l’administration du pays du destinataire du transfert (l’importateur). La validité des CCT dépend de leur capacité à assurer le niveau de protection requis par le RGPD et la Charte. Les transferts de données personnelles, fondés sur les CCT, doivent donc être suspendus ou interdits en cas de violation des CCT ou d’impossibilité de les honorer.

Selon la CJUE les CCT en question prévoient que l’entité qui transfère les données personnelles hors UE (l’exportateur) et l’importateur doivent vérifier, au préalable, que ce niveau de protection est respecté dans le pays de destination et obligent l’importateur à informer l’exportateur de son éventuelle incapacité à se conformer aux CCT, à charge alors pour ce dernier de suspendre le transfert.

Enfin, la CJUE indique que sauf s’il existe une décision d’adéquation valablement adoptée par la Commission européenne, les autorités sont obligées de suspendre ou d’interdire un transfert de données personnelles vers un pays hors UE lorsqu’elles estiment, au regard des circonstances propres à ce transfert, que les CCT ne sont pas ou ne peuvent pas être respectées dans ce pays et que la protection des données transférées, requise par le droit de l’UE, ne peut pas être assurée par d’autres moyens.

Les conséquences de la décision de la CJUE

Les conséquences de la décision de la CJUE ne se limitent pas aux seuls transferts à destination des Etats-Unis. Il résulte de la décision de la CJUE que l’exportateur doit évaluer le risque que présente le pays de l’importateur pour la protection des données personnelles transférées, et s’assurer que les données sont effectivement protégées dans le pays de destination. Autant dire que la tâche est quasi impossible, notamment pour les PME qui n’auront pas les moyens de procéder à cette évaluation au cas par cas et qui ne pourront pas se reposer uniquement sur les déclarations de l’importateur.

A ce jour, seuls les pays bénéficiant d’une décision de reconnaissance de niveau de protection adéquat de la Commission européenne devraient pouvoir être considérés comme «sûrs» : Andorre, Argentine, Canada, Ile de Man, Guernesey, Israël, Iles Féroé, Japon, Jersey, Nouvelle-Zélande, Suisse et Uruguay. Mais même pour ces pays, la Commission ne s’interdit pas de réévaluer ses anciennes décisions d’adéquation (adoptées avant le RGPD, sauf celle du Japon) au regard de la décision de la CJUE. Enfin, la décision de la CJUE s’applique également à un autre mécanisme de transfert prévu par le RGPD : les règles contraignantes d’entreprise (BCR), qui incluent des entités aux Etats-Unis ou dans d’autres pays hors UE.

Que faire à court terme ?

L’incertitude dans laquelle se trouvent les entreprises européennes et internationales a poussé le Comité européen de la protection des données (CEPD) à s’exprimer sur la décision de la CJUE, y compris à travers une FAQ, mais le CEPD n’apporte pas de réponses claires sur les moyens de sécuriser les transferts hors UE dans le contexte des CCT ou des BCR. A ce jour, la CNIL s’est contentée de traduire cette communication. Pour ajouter à l’inquiétude ambiante, l’association Noyb de Max Schrems, à l’origine de la décision de la CJUE, a indiqué avoir déposé 101 plaintes contre des entreprises européennes transmettant encore des données à Google et Facebook, et d’autres procédures sont à prévoir.

Le CEPD a annoncé la création d’une taskforce pour suivre les plaintes déposées après la décision de la CJUE et s’est engagé à fournir des recommandations claires et précises pour sécuriser les transferts hors UE, mais aucune date n’est confirmée. Par ailleurs, la Commission européenne et le Département du Commerce des Etats-Unis ont déclaré avoir lancé des discussions afin de réfléchir au moyen de renforcer le Privacy Shield pour le mettre en accord avec les principes du RGPD dégagés par la décision de la CJUE, mais là encore, aucun calendrier n’est fixé.

Il est donc recommandé aux entreprises qui transfèrent des données personnelles hors UE de réaliser un inventaire des transferts et des instruments de transfert utilisés. Cette information devrait être disponible dans leur registre des activités de traitement prévu par le RGPD.

Parmi les options, il est possible d’envisager des mesures de sécurité et de confidentialité pour renforcer les CCT et les BCR en place, telles que le chiffrement des données ou la pseudonymisation (sans transfert de la table de correspondance). L’article 49 du RGPD prévoit aussi certaines dérogations permettant de transférer des données hors UE, mais il faut préciser qu’elles sont d’application stricte et limitée.

Quant aux sanctions encourues, le CEPD indique qu’il n’y aura pas de période de grâce. Il convient toutefois de rappeler qu’en 2016, entre l’invalidation du Safe Harbor et la mise en place du Privacy Shield, il s’est écoulé neuf mois pendant lesquels il n’y a eu que très peu de sanctions dans l’UE.

Thierry Breton, commissaire européen, en charge notamment du numérique, déclarait récemment qu’il souhaitait que les données des Européens soient traitées et stockées en Europe. La clarté et la simplicité des recommandations qui seront fournies par les régulateurs, et la rigueur avec laquelle les autorités, dont la CNIL, appliqueront la décision de la CJUE pourraient bien y contribuer.