Le transfert de données personnelles en dehors de l’Union européenne est possible dès lors que les données sont transférées vers un pays garantissant un niveau et des conditions de protection au moins équivalents à ceux prévus par les dispositions du Règlement Général sur la Protection des Données (RGPD).
Plusieurs mesures permettent de réaliser ces transferts, parmi lesquelles les décisions d’adéquation de la Commission européenne, des mécanismes propres à certains Etats, régions ou organisations ainsi que des règles d’entreprises contraignantes et des clauses contractuelles type.
Ainsi, lorsqu’un pays n’est pas reconnu comme disposant d’une législation susceptible de garantir un même niveau de protection que le RGPD aux données qui y seraient transférées, il est malgré tout possible, sous certaines conditions, de procéder à des transferts.
C’est notamment le cas de certains transferts vers les Etats-Unis, qui bénéficient d’un mécanisme particulier appelé « Privacy Shield ». Ce mécanisme fonctionne par auto-certification et bénéficie déjà à près de 3 850 sociétés, dont Google, Microsoft et IBM.
Comme tout mécanisme d’adéquation, le Privacy Shield fait l’objet d’un examen régulier de conformité par lequel la Commission européenne émet des recommandations et choisit de prolonger sa validité ou d’y mettre un terme.
La validité d’un mécanisme peut également être contestée devant la Cour de Justice de l’Union Européenne (CJUE), comme l’avait été le système précédant le Privacy Shield, appelé Safe Harbor.
A l’époque, les pratiques de Facebook en matière de protection des données personnelles avaient donné lieu à plusieurs plaintes vis-à-vis desquelles Facebook s’était défendu en indiquant se conformer aux exigences du Safe Harbor.
Déboutés par l’autorité irlandaise de protection des données, les demandeurs avaient porté l’affaire devant la CJUE. A l’issue de l’examen des demandes, la Cour avait rendu un arrêt remettant en cause la validité du Safe Harbor.
Facebook a cependant contourné la difficulté en choisissant finalement de mettre en œuvre un mécanisme de clauses contractuelles type.
Ce sont aujourd’hui ces clauses qui sont remises en cause par l’autorité irlandaise de contrôle des données personnelles, qui a annoncé qu’elles ne lui paraissaient pas suffisantes pour garantir un degré suffisant de protection des données personnelles transférées.
L’un des principaux arguments soulevé par l’autorité tient aux conditions particulières de la protection des données aux Etats-Unis, notamment au regard de l’existence du programme de surveillance PRISM et du pouvoir des agences gouvernementales américaines en matière d’accès aux données.
En octobre 2017, la haute cour de justice irlandaise avait ainsi demandé à la CJUE de se prononcer sur la conformité au droit de la protection des données des clauses contractuelles type mises en œuvre par Facebook. La Cour a annoncé mardi 9 juillet qu’elle rendrait sa décision le 12 décembre.
Dès lors, l’arrêt de la Cour, et ses motifs, sont susceptibles d’avoir des conséquences pour l’ensemble des clauses contractuelles type mises en œuvre par des entreprises transférant des données vers des pays mettant en œuvre une surveillance des données stockées sur son territoire, par des agences de renseignement.
