Fil d'Ariane
Transfert de données à caractère personnel en dehors de l’EEE - Privacy Shield déclaré invalide et utilisation d’autres mécanismes de transfert renforcée
La transmission de données à caractère personnel vers les Etats-Unis sur base du Privacy Shield n’est pas conforme au RGPD. C’est ce qui a été décidé par la Cour de justice de l’Union Européenne le 16 juillet 2020 dans l’arrêt Schrems II. La transmission de données à caractère personnel sur base de « clauses contractuelles types » (« standard contractual clauses » ou « SCC’s ») reste, par contre, d’application mais uniquement à condition que le pays receveur offre une protection légale équivalente à la protection des données au sein de l’UE.
Contexte
Au sein des Etats membres de l’Espace Economique Européen (EEE), les données à caractère personnel peuvent être librement transférées pour autant que les principes généraux du RGPD soient respectés. La transmission de données à caractère personnel vers des pays en dehors de l’EEE n’est en revanche possible que dans les cas suivants :
- Une décision d’adéquation a été prise, pour l’Etat tiers concerné, par la Commission européenne (c’était le cas pour les Etats-Unis dans la mesure où l’organisation était affiliée au EU-US Privacy Shield mais il existe également des décisions d’adéquation pour, e. a., le Canada, la Suisse, le Japon, …) ;
- Il n’existe pas de décision d’adéquation mais des ‘garanties appropriées’ ont été prises en matière de protection des données à caractère personnel (il s’agit, e. a., des SCC’s qui sont approuvées par la Commission européenne ou des règles d’entreprise contraignantes (« Binding Corporate Rules » ou « BCR »)) ;
- La transmission tombe dans le champ d’application des exceptions spécifiques prévues à l’art. 49 du RGPD (e. a., les transmissions qui sont nécessaires pour l’exécution ou en vue de la conclusion d’un contrat ou celles qui ont lieu sur base du consentement explicite de la personne concernée). Ces exceptions ne peuvent cependant être appliquées que de manière occasionnelle.
L’arrêt Schrems II
L’activiste vie privée autrichien Max Schrems contestait l’utilisation de SCC’s par Facebook pour la transmission de données à caractère personnel au siège aux Etats-Unis et avait déposé plainte auprès de l’autorité de la protection des données irlandaise afin de contester la validité des SCC’s. Son objection principale résidait dans le fait que des données à caractère personnel sont transmises, sur base des SCC’s, aux Etats-Unis (entre autres), alors que les services de sécurité américains (comme la CIA, le FBI ou la NSA) ont largement accès à ces données. L’affaire arriva finalement devant la Cour de justice de l’Union Européenne, laquelle s’est prononcée tant sur les SCC’s que sur le Privacy Shield :
- le transfert de données à caractère personnel vers des Etats tiers sur base de SCC’s reste valable mais uniquement à condition que la protection légale de la vie privée dans l’Etat tiers corresponde dans les grandes lignes au niveau de protection qui est garanti au sein de l’UE. Selon la Cour, il ne suffit plus seulement de conclure des SCC’s mais le transmetteur (et le receveur) doi(ven)t effectivement vérifier si le cadre légal dans l’Etat tiers concerné offre une protection adéquate. En cas de protection insuffisante, les autorités de contrôle peuvent suspendre ou interdire la transmission de données;
- le transfert de données à caractère personnel vers les Etats-Unis sur base du Privacy Shield a été déclaré complètement invalide en raison du fait que l’ingérence des services de sécurité américains dans les données à caractère personnel transférées est possible. De plus, il n’existe pas, dans le cadre du Privacy Shield, de voies de recours judiciaires suffisantes contre cette ingérence.
Cette décision entraine beaucoup de questions pour les entreprises qui, actuellement, transmettent des données à caractère personnel vers les Etats-Unis et vers d’autres Etats tiers.
Point de vue du Comité européen de la protection des données
Différentes autorités nationales ont fait immédiatement savoir, après cet arrêt, que les conséquences concrètes devront être examinées plus en détails. Le Comité européen de la protection des données a, entretemps, publié une FAQ dans laquelle il adopte une position stricte et déclare que :
- le Privacy Shield ne peut plus être utilisé et ce, avec effet immédiat (il n’y a donc aucune période transitoire ou de tolérance comme l’ICO britannique l’avait suggéré) ;
- l’utilisation de SCC’s pour les transferts vers des Etats tiers doit être examinée au cas par cas, sur base des circonstances concrètes et des mesures supplémentaires qui peuvent être prises pour s’assurer que les données sont suffisamment protégées. Le Comité adoptera encore des lignes directrices supplémentaires quant à ce que ces « mesures supplémentaires » comprennent précisément ;
- l’arrêt s’applique également aux transferts sur base d’autres mécanismes de transfert comme les BCR et une enquête doit donc être réalisée à cet égard en ce qui concerne la nécessité de mesures supplémentaires ;
- s’il apparait que la sécurité des données ne peut être garantie en raison des circonstances concrètes et des potentielles mesures supplémentaires, le transfert doit être suspendu ou interrompu. Si le transmetteur souhaite néanmoins poursuivre le transfert bien qu’une protection adéquate ne puisse être offerte, il doit, en principe, consulter l’autorité de contrôle compétente ;
- les transferts de données sont encore possibles en vertu des exceptions spécifiques contenues à l’art. 49 du RGPD mais le CEPD insiste sur le fait que l’exception pour les transferts nécessaires pour l’exécution d’un contrat ne peut être utilisée que pour des transferts occasionnels.
Comment encore transférer des données désormais ?
Pour les transferts vers les Etats-Unis, le Privacy Shield est devenu invalide avec effet immédiat et la Cour de justice, après analyse du cadre légal américain, a décidé qu’il n’y avait pas de protection suffisante. Par conséquent, la seule possibilité pour des transferts systématiques vers les Etats-Unis semble être de faire appel à un autre mécanisme de transfert (comme les SCC’s ou les BCR) en combinaison avec d’autres mesures supplémentaires, pour autant qu’il puisse être démontré que les données sont, de cette manière, protégées de manière adéquate.
Pour les transferts vers d’autres Etats tiers, les entreprises peuvent évidemment toujours se fonder sur les décisions d’adéquation si une telle décision existe pour l’Etat concerné. Pour les Etats pour lesquels une décision d’adéquation existe, une analyse devra toujours être effectuée quant à la protection légale dans l’Etat tiers afin que le transfert puisse se fonder sur des SCC’s ou BCR. Il sera, à cet égard, important d’également bien documenter cette analyse en interne. Lorsqu’il apparait que le cadre légal n’offre pas une protection équivalente au RGPD, des mesures supplémentaires doivent alors être prises afin de protéger les données de manière adéquate.
Il est à noter qu’en raison du Brexit, le Royaume-Uni deviendra un Etat tiers le 1er janvier 2021 et - à moins que la Commission européenne ne prenne une décision d’adéquation - la même analyse du cadre légal au RU devra être effectuée. Etant donné que le RU autorise, en vertu de l’Investigatory Powers Act, une large ingérence de ses services de sécurité, la Commission européenne pourrait décider de ne pas prendre de décision d’adéquation et de potentielles mesures supplémentaires pourraient, par conséquent, être nécessaires afin de protéger le transfert de données en dehors de l’UE (via des SCC’s ou des BCR) d’une manière adéquate.
Point d'action
Etablir une documentation complète relative aux transferts vers des Etats tiers en :
- prenant note de quelles données dans quels Etats tiers sont traitées et sur base de quelles garanties (ceci devrait, en principe, toujours être indiqué dans le registre des activités de traitement) ;
- vérifiant dans quelle mesure ces garanties requerraient des mesures de sécurité supplémentaires (p. ex., cryptage, imposer une notification en cas de démarche de la part des autorités, etc.) ;
- imposant aux receveurs dans les Etats tiers l’obligation de prévenir l’entreprise si une autorité leur demande de communiquer des données et, le cas échéant, de contester pareille demande.
Nous conseillons également de prendre contact avec les prestataires de services aux Etats-Unis qui se fondent actuellement sur le Privacy Shield afin de leur demander (i) comment ils vont gérer la déclaration d’invalidité du Privacy Shield, (ii) s’ils sont disposés à conclure des SCC’s et de mettre en place des mesures supplémentaires afin d’assurer la sécurité des données et (iii) quelles mesures de sécurité ils proposent concrètement pour veiller à ce que le respect de la vie privée et du droit à la protection des données soit garanti de manière optimale.