Fin du Privacy Shield : les premières mesures pratiques à prendre
Pour Me Sabine Marcellin du cabinet DLGA, la décision de la Cour de Justice de l’Union européenne ouvre une phase d’insécurité juridique. Pour autant, les entreprises – qui courent le risque de ne plus être conformes au RGPD – peuvent d’ores et déjà agir.
La Cour de Justice de l’Union européenne vient d’invalider le Privacy Shield. Après une analyse des premières conséquences générales pour les entreprises, LeMagIT a échangé avec une experte des questions juridiques sur les sujets de cybersécurité et du RGPD : Me Sabine Marcellin, associée au cabinet DLGA (« une firme française indépendante d’avocats ayant une pratique internationale » souligne son site officiel).
Me Marcellin nous a donné des pistes claires sur le sujet le plus central de cette affaire pour les responsables d’entreprises : comment naviguer dans les mois qui viennent dans ce contexte d’incertitude juridique ?
Réponse dans cet entretien.
Un risque clair de non-conformité au RGPD
LeMagIT : Qu’implique cette décision de mettre fin au Privacy Shield pour les acteurs américains du cloud (Microsoft, Facebook ou Workday par exemple) ? Vont-ils devoir modifier la gestion technique de leurs clouds ?
Me Sabine Marcellin : Cette décision du 16 juillet bouleverse le cadre des échanges. Ces grands acteurs américains de l’internet, adhérents au Privacy Shield, pouvaient indiquer qu’ils garantissaient légalement la protection des données personnelles de leurs clients européens. Cependant la décision repose sur des arguments démontrant que cette protection n’était pas suffisante pour les utilisateurs.
Me Sabine MarcellinDLGA
Le Privacy shield étant invalidé, il prive près de 5 400 sociétés américaines de cadre juridique pour leurs importations de données. Cela signifie que les autorités européennes de contrôles des données, dont la CNIL, peuvent suspendre voire interdire le transfert de données.
Face à ce bouleversement, les réactions des sociétés américaines sont divergentes. Leur volonté de commercialiser leurs services en application du RGPD s’articule difficilement avec les limitations de la protection des données découlant de la réglementation américaine. Même si les datacenters se trouvent sur le sol européen, la réglementation US (Patriot Act, Cloud Act, etc.) reste applicable.
Les solutions techniques peuvent représenter une réponse, mais uniquement si elles sont en conformité avec le RGPD.
Les grands acteurs de l’internet ont intérêt à ce que les négociations [entre les États-Unis et l’Union européenne], qui démarrent par la visite du secrétaire au Commerce américain, Wilbur Ross – prévue le 23 juillet à Bruxelles – débouchent sur une solution protectrice et pragmatique.
LeMagIT : Et pour leurs clients : courent-ils le risque de ne plus être « conformes » si leurs prestataires ne le sont plus ?
Me Sabine Marcellin : Les entreprises clientes, en perdant cette référence au Privacy Shield, courent effectivement le risque de non-conformité au RGPD. Le transfert des données outre-Atlantique n’est pas interdit, mais la base légale qui était couramment utilisée est invalidée.
Intérêts et limites des Clauses Contractuelles Type
LeMagIT : Comment peuvent-ils agir pour « se protéger » de ce risque ?
Me Sabine Marcellin : Pour se protéger, les entreprises peuvent déjà établir la cartographie de leurs transferts et de leurs contrats. Et, dans l’attente d’une solution politico-juridique plus favorable, se préparer à renégocier les contrats concernés en y intégrant des Clauses Contractuelles Type.
LeMagIT : Pouvez-vous rappeler ce que sont ces « clauses contractuelles types » ?
Me Sabine Marcellin : Les Clauses Contractuelles Type [N.D.R. : CCT, ou SCC en anglais pour Standard Contractual Clauses] sont des modèles de contrats élaborés par la Commission européenne pour encadrer les transferts de données personnelles hors UE, vers les pays qui n’ont pas un niveau de protection équivalent à celui de l’Europe.
Les CCT contiennent des obligations pour l’exportateur et l’importateur de données, visant à protéger ces données personnelles. Il existe différents modèles selon que les sociétés qui échangent des données sont responsables de traitements ou sous-traitants.
Me Sabine MarcellinDLGA
La signature des CCT permet aux sociétés d’obtenir la garantie d’une protection appropriée pour les transferts internationaux de données.
Ce mécanisme des CCT existe depuis 2001. Il est en cours de révision par la Commission européenne, et semble relativement simple à mettre en œuvre.
Cependant, il présente quelques contraintes. D’une part, à la différence du Privacy Shield qui avait une portée large, les CCT ne s’appliquent qu’à un traitement spécifique. D’autre part, l’exportateur de données reste qualifié de responsable du traitement vis-à-vis des personnes concernées, notamment en cas de violation des règles. Alors qu’avec le Privacy Shield la Commission européenne se portait garante du transfert.
Dans le cas de Clauses Contractuelles Type, les règles sont imposées par l’UE aux entreprises européennes exportant leurs données et, indirectement, aux destinataires des données hors UE.
Même si le contrat à l’origine du traitement (cloud, maintenance, etc.) est dicté par un éditeur étranger, les CCT qui les accompagnent ne sont pas négociables. Plus précisément, il n’est possible de procéder à des modifications en s’écartant de la réglementation qu’avec l’accord du régulateur comme la CNIL en France.
La CNIL en pleine analyse pratique
LeMagIT : D’après vous, cette décision changera-t-elle les choses (en bien) ? Ou les éditeurs US trouveront-ils un tour de passe-passe pour ne rien changer ?
Me Sabine Marcellin : L’invalidation du Privacy Shield aura des conséquences sur les échanges de services avec des prestataires américains.
Les accords pour lesquels les transferts de données reposaient sur le Privacy Shield doivent être adaptés pour rester en conformité avec les règles européennes. L’une des solutions est de formaliser des CCT entre exportateur et importateur de données.
Me Sabine MarcellinDLGA
Mais nous sommes dans une phase d’insécurité juridique. Les CCT ne représentent pas une solution parfaite.
Et les autres exceptions au transfert hors espace européen, prévues par le RGPD (selon l’art. 49.1 : « motifs importants d’intérêt public, consentement explicite, etc. ») restent des mesures partielles.
La CNIL et ses homologues procèdent à l’analyse de la décision pour en tirer les conséquences dans « les meilleurs délais » – selon son communiqué du 17 juillet.
Les autorités de contrôle européennes se penchent déjà sur la construction de nouvelles mesures pour remplacer l’accord invalidé.
L’Europe saura-t-elle convaincre les États-Unis ? La puissance commerciale américaine pourra-t-elle s’adapter aux exigences du marché européen ? Cela signifierait appliquer les lois européennes protectrices des droits humains, comme le RGPD, pour satisfaire un marché fort de plus de 440 millions de citoyens.
Cartographier les traitements, en attendant les déclinaisons pratiques
LeMagIT : Vous avez déclaré que la fin du Privacy Shield était « l’occasion pour les entreprises de renforcer leur conformité au RGPD ». D’accord pour le faire, mais comment ? Quels conseils concrets donneriez-vous pour y arriver ?
Me Sabine Marcellin : Les entreprises doivent mettre à profit ce basculement pour examiner leurs transferts de données hors espace européen.
Me Sabine MarcellinDLGA
Il s’agit là de vérifier la cartographie de ces transferts, les types de données concernées et les mécanismes contractuels qui les encadrent.
En ayant une vision précise de leurs traitements, les entreprises pourront mieux maîtriser les risques et prendre les décisions adaptées. Sans doute peuvent-elles évaluer quels traitements pourraient être réalisés dans l’espace européen… si les conditions financières permettent ce choix [de manière] réaliste.
À court terme, les entreprises peuvent se préparer à renégocier les contrats encadrés par le Privacy Act en y intégrant des Clauses Contractuelles Types.
Et plus globalement, elles ont tout intérêt à réaliser une veille sur l’évolution des règles européennes pour en mesurer la déclinaison pratique.
Pour approfondir sur Applications et services
-
Data Privacy Framework : les DPO français mitigés sur un cadre « stable », mais très « fragile »
-
DMA : des membres du Congrès américain craignent pour la compétitivité des géants du cloud
-
Data privacy Framework : un accord qui passe difficilement en Europe
-
Données personnelles : la multiplication des projets de loi européens perd les DPO français (étude)