Transfert de données vers les Etats-Unis : peut-on continuer à travailler avec des entreprises américaines après l’annulation du Privacy Shield ?

Par une décision en date du 16 juillet 2020, la Cour de Justice de l’Union Européenne (CJUE) a invalidé l’intégralité des dispositions du mécanisme dit du « Privacy Shield ».

Pour rappel, ce mécanisme permettait aux sociétés européennes, de transférer des données personnelles vers les Etats-Unis, dès lors que l’entreprise destinataire avait adhéré au Privacy Shield.

Le Privacy Shield est entré en vigueur le 1er aout 2016, suite à l’invalidation en octobre 2015 du mécanisme dit du « Safe Harbour » par la CJUE. Celui-ci permettait également le transfert de données des ressortissants de l’Union européenne vers les Etats-Unis.

Le Privacy Shield reposait essentiellement sur une auto certification par les entreprises situées aux Etats-Unis souhaitant en bénéficier.

La Commission européenne évaluait par ailleurs annuellement la conformité du Privacy Shield aux dispositions du droit européen en matière de données personnelles, afin de déterminer s’il assurait des garanties suffisantes en matière de protection des données personnelles.

En octobre 2019, la Commission européenne avait ainsi conclu que les Etats-Unis continuaient de garantir un niveau suffisant de protection aux données personnelles transférées aux Etats-Unis. Le rapport de la Commission relevait cependant des pistes d’amélioration.

Causes de l’annulation

 

La CJUE retient cependant que deux éléments principaux rendent impossible la mise en œuvre de garanties équivalentes permettant le transfert de données vers le territoire des Etats-Unis.

D’une part, les programmes de surveillance mis en œuvre aux Etats-Unis ne sont pas soumis à des exigences suffisantes pour garantir la protection des données qui y sont transférées, y compris les données des non-ressortissants. La CJUE retient dès lors que ces programmes de surveillance, permettant l’accès des autorités aux données transférées , ne sont pas limités au strict nécessaire et ne respectent pas le principe de proportionnalité.

D’autre part, il n’existe pas de voies de recours effectives en cas de violation des données personnelles. Les personnes concernées peuvent en effet recourir à la médiation en s’adressant à un médiateur dédié, mais la CJUE considère que celui-ci ne leur offre pas de garanties substantiellement équivalentes à celles requises par droit communautaire.

Le médiateur est notamment désigné par le Secrétaire d’Etat des Etats-Unis, lui rend compte directement et sa révocation n’est pas accompagnée de garanties particulières. Son indépendance, ainsi que sa capacité effective de contraindre les autorités et services qui contreviendraient au droit de la protection des données, ne sont donc pas des garanties suffisantes pour la CJUE.

La Cour par conséquent a décidé d’invalider le Privacy Shield.

Et maintenant?

 

Cette invalidation soulève évidemment la question du devenir des traitements donnant lieu à des transferts de données vers les Etats-Unis. La CJUE relève qu’il n’existe pas, selon elle de risque que cet arrêt crée un vide juridique dans la mesure où les dispositions de l’article 49 du RGPD (Dérogations pour des situations particulières) peuvent trouver à s’appliquer.

Cet article établit les conditions dans lesquelles des transferts de données à caractère personnel vers des pays tiers peuvent avoir lieu en l’absence d’une décision d’adéquation ou de garanties appropriées au sens du RGPD.

Sont notamment concernés les transferts réalisés avec le consentement de la personne concernée (après communication des risques que ce transfert peut entrainer) ou encore lorsque le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement.

Par ailleurs, la Commission avait annoncé dans son communiqué de presse d’octobre 2019 accompagnant les conclusions de son analyse du Privacy Shield que, une fois l’arrêt de la Cour rendu, elle évaluerait ses conséquences.

Entretemps, il sera donc nécessaire de s’appuyer sur l’article 49 du RGPD, ainsi que sur les clauses contractuelles type pour continuer à transférer des données personnelles vers des entreprises situées aux Etats-Unis.

Si vous ne disposez pas de clauses contractuelles types, il devient ainsi urgent de procéder à leurs rédactions.

Pour connaître nos offres ou demander un devis, cliquez ici.

Pour toute question sur la rédaction de vos contrats et clauses, contactez directement notre cabinet d’avocats partenaire Leben Avocats.

Sources :
Arrêt CJUE du 16 juillet 2020, affaire C 311/18 ;

Bouclier de protection des données UE-États-Unis: le troisième examen salue les progrès accomplis et dégage des pistes d’amélioration