Transferts internationaux de données – Conséquences de la décision Schrems II de la Cour européenne de justice

- 10 septembre  2020

introduction

Le 16 juillet 2020, la Cour de justice de l'Union européenne (CJUE) a invalidé le bouclier de protection des données UE-États-Unis (Privacy Shield) [1] dans sa décision Schrems II, [2] à la lumière des dispositions du General Data Protection Shield règlement (RGPD) [3] et la Charte des droits fondamentaux de l'UE (ECFR). [4] En bref, la décision annule l'une des bases juridiques essentielles pour les transferts de données transatlantiques. Cependant, la CJUE a confirmé la validité des clauses contractuelles types (CCP) pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers. [5] La décision de la CJUE a des implications importantes pour toutes les entreprises impliquées dans les transferts de données transatlantiques et internationaux.

Contexte et analyse de la décision de la CJUE

 

La décision Schrems II de la CJUE est le résultat d'une procédure intentée en Irlande par Max Schrems contre le commissaire irlandais à la protection des données concernant les transferts de données de Facebook vers les États-Unis. Les questions déférées à la CJUE étaient les suivantes :

  • (1) Si les dispositions du RGPD s'appliquent au transfert de données à caractère personnel par un opérateur économique établi dans l'UE à un autre opérateur établi dans un pays tiers dans lequel les données sont susceptibles d'être traitées par les autorités de sécurité publique, de défense et de des fins de sécurité de l'État ?

  • (2) Quels facteurs doivent être pris en compte pour déterminer le niveau requis de protection des SCC en vertu des dispositions du RGPD ?

  • (3) Les autorités de protection des données (DPA) sont-elles tenues de suspendre ou d'interdire les transferts de données en vertu des SCC si le niveau de protection requis ne peut être assuré ?

  • (4) Les CSC sont-ils valides à la lumière des dispositions de l'ECFR ?

  • (5) Le Privacy Shield assure-t-il un niveau de protection adéquat dans le cadre du RGPD ?

 

En substance, la CJUE a conclu que :

  • Les dispositions du RGPD s'appliquent aux données personnelles traitées à des fins de sécurité nationale.

  • Le principe « d'équivalence essentielle » avec le droit de l'UE consacré à l'art. 45 RGPD s'applique aux CCT en vertu de l'art. 46 GDPR et doit être basé sur le droit de l'UE, en particulier l'ECFR.

  • Les DPA ont le devoir de suspendre ou d'interdire les transferts de données si les CCT ne peuvent pas être respectées ou si le niveau de protection requis apparaît insuffisant.

  • Le Privacy Shield ne fournit pas un système de protection des données personnelles équivalent entre l'UE et les États-Unis et est donc invalide avec effet immédiat.

 

La décision de la CJUE soulève un certain nombre de questions pour les APD et les futurs accords internationaux. Les conséquences immédiates de la décision sont donc difficiles à évaluer pour les entreprises de l'UE et des orientations supplémentaires sont nécessaires de toute urgence.

 

Conséquences de Schrems II sur les transferts internationaux de données

 

Le 30 juillet, un certain nombre de représentants de la communauté mondiale des affaires ont adressé une lettre conjointe de l'industrie au commissaire européen à la justice Didier Reynders et à la présidente du comité européen de la protection des données, le Dr Andrea Jelinek. Les représentants des entreprises ont appelé à de nouvelles négociations sur un successeur au bouclier de protection des données et ont demandé des lignes directrices aux autorités de protection des données combinées à un moratoire d'application raisonnable. Cependant, la foire aux questions (FAQ) du Comité européen de la protection des données (EDPB) sur les conséquences de la décision de la CJUE publiée le 23 juillet souligne qu'aucun délai de grâce ne sera accordé aux entreprises transférant des données aux États-Unis.

 

Étant donné que le bouclier de protection des données ne peut pas être utilisé par les entreprises pour les transferts de données transatlantiques, les entreprises doivent utiliser les SCC et s'assurer de leur conformité avec le GDPR, l'ECFR et les exigences supplémentaires de la CJUE. En particulier, les entreprises devraient procéder à une auto-évaluation de leurs CSC et vérifier que le niveau de protection des données dans le pays tiers est essentiellement équivalent à la protection prévue par le droit de l'UE, en tenant compte :

  • Les circonstances des transferts.

  • Les mesures supplémentaires que l'entreprise peut mettre en place pour s'assurer que la législation américaine (ou étrangère) n'empiète pas sur le niveau de protection adéquat garanti par les CSC.

Si l'évaluation conclut que les garanties appropriées ne peuvent pas être assurées, l'entreprise est tenue de suspendre ou de mettre fin au transfert de données personnelles. Dans le cas contraire, si l'entreprise a l'intention de continuer à effectuer des transferts de données malgré les résultats de l'évaluation, elle doit notifier sa décision à l'autorité de contrôle de la protection des données (AS) compétente.

 

De plus, les entreprises peuvent toujours se prévaloir des dérogations de l'article 49 du RGPD  pour transférer des données aux États-Unis, mais doit s'assurer que :

  • Les transferts basés sur le consentement de la personne concernée sont :

    • Explicite,

    • Spécifique pour le transfert de données particulier ou l'ensemble de transferts,

    • Informé, notamment sur les risques éventuels des transferts.

  • Les transferts nécessaires à l'exécution d'un contrat entre la personne concernée et le responsable du traitement restent occasionnels.

  • Les transferts nécessaires pour des raisons importantes d'intérêt public ne sont pas effectués à grande échelle et de manière systémique et répondent à un strict critère de nécessité.

 

Options de politique et prochaines étapes

 

Le 10 août 2020, le commissaire européen à la justice Didier Reynders et le secrétaire américain au commerce Wilbur Ross ont publié une déclaration conjointe indiquant que l'UE et les États-Unis ont entamé des discussions pour évaluer le potentiel d'un cadre renforcé de protection de la vie privée UE-États-Unis afin de se conformer aux dispositions de la CJUE. décision. Cependant, il convient de souligner que l'interprétation par la CJUE du principe de protection essentiellement équivalente dans le cadre du RGPD établit des normes très élevées exigeant plus qu'un bouclier de protection des données renforcé. La décision de la Cour invite plutôt la Commission à proposer de nouvelles approches en matière de transferts internationaux de données. Agir autrement risque de ne pas respecter les normes de la CJUE et crée un environnement d'incertitude juridique pour les entreprises et les 800 millions de citoyens des deux côtés de l'Atlantique.

 

De nouvelles lignes directrices du CEPD sont nécessaires de toute urgence, en particulier sur les mesures supplémentaires que les entreprises peuvent mettre en place pour se conformer à la décision de la CJUE. Le 4 septembre, le CEPD a créé un groupe de travail qui préparera des recommandations pour aider les responsables du traitement et les sous-traitants dans leurs fonctions d'identification et de mise en œuvre de mesures supplémentaires appropriées pour assurer une protection adéquate lors du transfert de données vers des pays tiers.

 

Entre-temps, les entreprises sont tenues de se soumettre à une évaluation minutieuse de leurs CSC. Avec une équipe d'experts spécialisés en politique numérique, Lighthouse Europe est idéalement situé pour aider les entreprises et les groupes industriels intéressés par les discussions politiques et peut aider à une meilleure compréhension de l'environnement juridique en évolution pour les transferts internationaux de données.

 

Par Boniface de Champris