Pourquoi le Privacy Shield est-il invalidé et qu’est-ce que cela change ?
Cette décision concerne les transferts de données personnelles hors UE : rappel du principe
LE PRINCIPE :
Les organismes ont le droit de transférer des données personnelles de résidents européens en dehors de l’Union européenne (UE) et de l’Espace Economique Européen (EEE) dès lors qu’on assure un niveau de protection des données suffisant et approprié.
QU’EST-CE QU’UN TRANSFERT DE DONNEES ?
On parle de « transfert » mais en réalité, les données n’ont pas besoin d’être envoyées/transférées pour être concernées par ces exigences de protection.
Il suffit que l’entreprise hors UE ait un accès aux données personnelles, même limité à de la consultation exceptionnelle, pour être concerné. Cela peut être le cas lorsque l’entreprise hors UE héberge les données (cas des clouders américains) ou bien réalise la maintenance de la solution qui les porte.
Présentation des mécanismes (dont le Privacy Shield) qui autorisent les transferts de données vers un pays en dehors de l’Union Européenne.
- Soit le pays destinataire a été jugé comme « adéquat » par la Commission Européenne car sa réglementation sur la protection des données est du niveau du RGPD (article 45 du RGPD).
Lien vers la liste des pays adéquats : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
– Sont considérés adéquats (en plus de tous les pays européens), des pays comme l’Argentine, Israël, la Nouvelle Zélande, le Japon. Il y en a d’autres.
– Deux pays étaient en adéquation partielle :
- Le Canada pour les traitements réalisés dans le cadre d’activités commerciales (loi PIPEDA). Ces transferts ne nécessitent pas d’encadrement spécifique.
Ça, ça n’a pas changé. - Les USA étaient en adéquation partielle jusqu’au 16 juillet 2020, grâce à l’existence du Privacy Shield.
Comment marchait le Privacy Shield ?
En 2016, un an après l’annulation du « Safe Harbor » déjà considéré insuffisamment protecteur par la CJCE, le Privacy Shield avait été adopté. Il offrait aux USA une « adéquation partielle » qui concernait les transferts de données personnelles de résidents européens vers les entreprises américaines qui avaient adhéré à ce « Bouclier de Protection des Données » (uniquement pour les entreprises soumises aux pouvoirs de contrôle de la Commission Fédérale du Commerce).
Le Privacy Shield listait des exigences de protection des données qu’une entreprise devait s’imposer en y adhérant. C’était de l’auto-certification.
Environ 5300 entreprises y avaient adhéré : Microsoft, Google, Amazon, Hubspot, Salesforce etc.
Il suffisait de se rendre sur la page internet du Privacy Shield pour vérifier que l’entreprise américaine avec laquelle on voulait travailler était bien sur la liste.
Quel était l’intérêt juridique du Privacy Shield ?
Si une entité européenne voulait transférer des données vers une entreprise qui n’avait pas adhéré au Privacy Shield, elle devait chercher une autre « garantie appropriée » comme décrite un peu plus bas. C’était un peu plus lourd.
En revanche, si l’entreprise américaine avait adhéré au Privacy Shield, il n’y avait aucune formalité/action supplémentaire à réaliser par rapport à une entreprise européenne (à part l’information des personnes qu’un transfert hors UE avait lieu et que l’entreprise américaine avait adhéré au Privacy Shield). En bref, vos contrats avec vos sous-traitants Espagnols, Norvégiens et Américains (adhérents au Privacy Shield), étaient similaires. C’était simple de mettre en place un contrat avec une entreprise américaine du point de vue du RGPD.
Pour plus d’info sur ce dispositif (qui vient donc d’être invalidé) : https://www.cnil.fr/fr/le-privacy-shield
- Soit le pays destinataire n’est pas jugé adéquat et on doit mettre en place des « garanties appropriées» (art 4 du RGPD) pour sécuriser le transfert hors UE.
Liste des mécanismes juridiques qui permettent le transfert de données personnelles vers des pays non adéquats, hors UE.
- Les Règles d’Entreprise Contraignantes (Binding Corporate Rules)
Si le transfert est réalisé au sein d’un groupe d’entreprise qui a des entités hors UE, le groupe peut mettre en place des Règles d’Entreprise Contraignantes qui définissent les règles de protection des données et qui aura été validé par le régulateur.
Dans ce cas, une fois que chaque entité a signé ce document, les transferts de données peuvent se faire librement.
Ce dispositif existait déjà avant le RGPD donc plusieurs groupes en sont dotés : Axa , ArcelorMittal, Engie etc - Les Clauses Contractuelles Types
Si on signe avec le destinataire hors UE un contrat prérédigé (on parle de « Clauses Contractuelles Types »), disponible sur le site de chaque régulateur national, qui a été adopté par le régulateur et validé par la Commission Européenne, le transfert est valide.
Ces clauses portent des exigences fortes sur le signataire hors UE.
La CJCE, par son arrêt, a d’ailleurs validé le caractère protecteur de ces clauses.
NB : Ce dispositif existait avant le RGPD.
Pour voir les différentes sortes de Clauses Contractuelles Types : https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne - Code de conduite approuvé
Si le destinataire hors UE dispose d’un Code de conduite qui a été approuvé par un régulateur européen et qui comporte l’engagement contraignant et exécutoire d’appliquer les garanties appropriées, le transfert ne nécessite pas d’encadrement supplémentaire.
Le souci est qu’il n’existe que très peu de Code de Conduites approuvés à ce jour. - La Certification au RGPD
Si le destinataire hors UE applique les règles issues d’une Certification européenne validée, le transfert ne nécessite pas d’encadrement supplémentaire.
A ce jour, il n’en existe pas pour les entreprises… C’est un travail qui est en cours au niveau des différents régulateurs. - Les arrangements administratifs
S’il y a un arrangement administratif ou un texte juridiquement contraignant et exécutoire pris pour permettre la coopération entre autorités publiques concernant le transfert hors UE (Mémorandum of Understanding dit MOU ou MMOU, convention internationale…), le transfert ne nécessite pas d’encadrement supplémentaire.
NB : le Cloud Act avait notamment pour objectif de permettre l’accès aux données des européennes en dehors de toute convention internationale. - Clauses ad hoc
On utilise ces Clauses ad hoc lorsqu’on ne peut pas utiliser les Clauses Contractuelles Types. Pour être valables, ces clauses doivent être approuvées par le régulateur. C’est nécessaire notamment pour les transferts d’un sous-traitant européen vers un sous-traitants hors UE. Il n’existe pas de modèle de CCT applicable dans ce cas.
Ce dispositif existait avant le RGPD. Il est assez lourd. - Dérogations pour des situations particulières
Si aucune des garanties ci-dessus ne peut s’appliquer (ce qui est extrêmement rare), on peut tout de même réaliser le transfert sans demander d’autorisation au régulateur mais selon certaines conditions, limitativement énumérées, à l’article 49 du RGPD.
Exemple de cas ou le transfert est autorisé :
– la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées ;
– le transfert est nécessaire à l’exécution d ‘un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ;
– etc ;
Pourquoi est-ce que le privacy Shield est « tombé » le 16 juillet dernier ?
- Il était critiqué depuis son adoption en 2016
– L’adhésion au Privacy Shield était une auto-certification (du simple déclaratif).
– Les personnes n’ont pas la possibilité d’exercer des voies de recours devant un organe pour leur permettre de garantir leurs droits. Il n’y a pas de CNIL aux USA pour déposer des réclamations par exemple.
– Mais le nœud du problème se trouve dans les dispositifs légaux mis en place aux Etats-Unis pour permettre aux services de renseignement et aux autorités d’accéder aux données manipulées par les entreprises américaines (on pense par exemple au Cloud Act). Or, cela constitue un transfert de données hors UE non encadré et donc contraire au RGPD.
- Le contexte de la décision : une décision suite au recours de Maximilian Schrems contre Facebook
C’est suite au recours d’un militant Autrichien pour la protection des données, Maximillian Schrems, que la Cour s’est prononcée. Il faut savoir que c’est déjà lui qui avait fait tomber le Safe Harbor en 2015 ! Et ce, toujours dans des conflits l’opposant à Facebook.
M. Schrems avait déposé une plainte auprès de l’autorité irlandaise de contrôle, considérant qu’au vu des révélations faites en 2013 par M. Edward Snowden au sujet des activités des services de renseignement des Etats-Unis (en particulier la National Security Agency ou « NSA »), le droit et les pratiques des Etats-Unis n’offraient pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays.
En 2020, ce sont les mêmes soucis qui sont pointés du doigt. Il est à nouveau reproché l’absence d’organe pour permettre :
• De fournir des voies de recours aux personnes concernées
• D’adopter des décisions contraignantes à l’égard des services de renseignement américains.
La décision de la CJCE est surtout très symbolique. C’est l’expression du « ras le bol » de l’Europe par rapport à l’accès du gouvernement américains aux données européennes, sous couvert de lois anti terroristes, violant de ce fait le RGPD allégrement.