Les organismes européens de surveillance des données ont publié des orientations actualisées à la suite de l’arrêt historique de la semaine dernière qui a annulé un mécanisme phare de transfert de données transatlantique appelé « Privacy Shield ».
Dans une FAQ sur l’arrêt Schrems II, le Comité européen de protection des données (CEPD ou EDPB en anglais) avertit qu’il n’y aura pas de délai de grâce réglementaire.
Le bouclier de protection de la vie privée ou Privacy Shield entre l’UE et les États-Unis est mort, et toute entreprise qui s’appuie encore sur lui pour autoriser le transfert de données personnelles de citoyens européens le fait illégalement, tel est le message principal.
« Les transferts effectués sur la base de ce cadre juridique sont illégaux », prévient sans ambages l’EDPB. Les entités qui souhaitent continuer à transférer des données personnelles vers les États-Unis doivent utiliser un autre mécanisme – mais doivent d’abord déterminer si elles peuvent satisfaire à l’exigence légale de protéger les données de la surveillance américaine.
Quelles sont les alternatives possibles ? Les clauses contractuelles types (CC ou SCCs en anglais) n’ont pas été invalidées par l’arrêt de la CJUE (Cour de justice de l’Union européenne). Des règles d’entreprise contraignantes (BCR : Binding Corporate Rules) sont également toujours techniquement disponibles.
Mais dans les deux cas, les exportateurs potentiels de données doivent effectuer une analyse préalable pour déterminer s’ils peuvent en fait utiliser légalement ces outils pour transférer des données dans leur contexte spécifique.
Quiconque utilise déjà les SCCs pour le transfert de données de citoyens européens vers les États-Unis (salut, Facebook !) n’est pas dispensé de procéder à une évaluation – et doit informer l’autorité de contrôle compétente s’il a l’intention de continuer à utiliser le mécanisme.
Le problème avec les transferts américains est que la CJUE juge que le Privacy Shield a été invalidé au motif que les lois américaines en matière de surveillance sont fondamentalement contraires au droit européen à la vie privée. Donc, en d’autres termes, Houston, vous avez un problème de vie privée…
« La Cour a estimé que le droit américain (c’est-à-dire la section 702 FISA [Foreign Intelligence Surveillance Act] et l’EO [Executive Order] 12333) n’assure pas un niveau de protection essentiellement équivalent », prévient l’EDPB en réponse à la question (attendue) fréquemment posée : « J’utilise les SCCs avec un importateur de données aux États-Unis, que dois-je faire ?
« La possibilité de transférer des données à caractère personnel sur la base des SCCs dépendra du résultat de votre évaluation, compte tenu des circonstances des transferts, et des mesures supplémentaires que vous pourriez mettre en place ».
La possibilité d’utiliser les SCCs pour transférer des données vers les États-Unis dépend de la capacité du responsable du traitement à offrir une garantie juridique que « la législation américaine n’empiète pas sur le niveau de protection adéquat » des données transférées.
Si un exportateur de données UE-USA ne peut pas en être sûr, il est tenu de mettre fin au transfert de données. Pas de si, pas de mais.
Ceux qui pensent pouvoir offrir une garantie juridique de « garanties appropriées » – et qui ont donc l’intention de continuer à transférer des données aux États-Unis via le SCC – doivent le notifier à l’organisme de surveillance des données concerné. Il n’est donc pas possible de continuer « normalement » sans en informer le régulateur.
C’est la même chose avec les BCR – sur lesquels l’EDPB prend note : « Étant donné l’arrêt de la Cour, qui a invalidé le Privacy Shield en raison du degré d’interférence créé par la loi des États-Unis avec les droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers, et le fait que le Privacy Shield a également été conçu pour apporter des garanties aux données transférées avec d’autres outils tels que les BCR, l’évaluation de la Cour s’applique également dans le contexte des BCR, puisque la loi des États-Unis aura également la primauté sur cet outil ».
Donc, une fois encore, une évaluation au cas par cas est nécessaire pour déterminer si vous pouvez être juridiquement sûr d’offrir le niveau de protection requis.
https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf
