Chute du Privacy Shield : prudence encore et toujours avant toute décision (AFCDP)
La CNIL a apporté un début d’éclaircissement aux entreprises après la décision de la Cour de Justice de l’Union européenne de mettre fin au Privacy Shield. Mais sa réponse reste partielle selon l’association des DPO français, qui partage avec LeMagIT son analyse et ses conseils.
La FAQ du Comité européen de la Protection des Données (CEPD), publiée le 23 juillet dernier et traduite par la CNIL le 31 juillet, rappelle dans un premier temps que la validité des clauses contractuelles types (« CCT ») de la Commission européenne dans le cadre de transferts de données vers un pays tiers non adéquat dépend de la question de savoir si elles comportent des mécanismes efficaces qui permettent, en pratique, d’assurer le respect du niveau de protection garanti au sein de l’Union européenne par le RGPD.
Autrement dit, il est interdit de transférer des données personnelles au moyen de telles clauses en cas d’impossibilité de les respecter.
À cet égard, la Cour de Justice de l’Union européenne (CJUE) a rappelé notamment que la décision instituant les CCT :
- impose à l’exportateur de données et au destinataire des données (« importateur de données ») l’obligation de vérifier si le niveau de protection est respecté dans le pays tiers concerné ;
- exige que l’importateur de données informe l’exportateur de données de toute incapacité à se conformer aux clauses types de protection des données et, le cas échéant, à toute mesure complémentaire à celles prévues par les clauses.
En application de ces principes, la CJUE a, en toute logique, invalidé le Privacy Shield.
Une réponse partielle au besoin d’éclaircissements
La FAQ du CEPD répond en ce sens à nos attentes d’éclaircissements, dans la mesure où elle précise que ces exigences s’appliquent à l’ensemble des « garanties appropriées » de l’article 46 du RGPD qui encadre les transferts de données de l’EEE vers tout pays tiers.
Ainsi, à défaut d’évolution de la législation américaine mentionnée par la CJUE (c’est-à-dire la section 702 du FISA et l’Executive Order 12333), les autres instruments juridiques (CCT et BCR pour « Binding corporate rules ») devront prévoir des « mesures complémentaires » garantissant que la législation américaine ne compromet pas sur le niveau de protection adéquat que les clauses et ces mesures garantissent.
Que manque-t-il aux DSI et DPO pour prendre les décisions adéquates ?
Nous sommes néanmoins en attentes de précisions et d’exemples sur le type de « mesures complémentaires » qui pourraient être fournies en plus des CCT ou des BCR, qu’il s’agisse de mesures juridiques, techniques ou organisationnelles, pour transférer des données notamment vers les États-Unis où ces instruments ne fournissent pas à eux seuls un niveau de protection suffisant.
Dès lors, dans un premier temps, les DSI et DPO français doivent vérifier que leur contrat permet de choisir la localisation des données au sein de l’Union européenne et que cette option a bien été choisie lors de la contractualisation.
Dans le cas contraire, si cette option existe, il faut la mettre en œuvre si cela est possible, en cours d’exécution du contrat, et s’assurer du rapatriement des données en Europe avec une communication auprès des personnes concernées.
À défaut, il peut être opportun d’envisager un changement de prestataire afin de rapatrier les données au sein de l’Union européenne.
En effet, la dernière option juridique consistant à mettre en œuvre des dérogations de l’article 49 du RGPD pour transférer des données aux États-Unis nous semble contraire aux principes mêmes de ces dispositions.
À ce titre, conformément aux lignes directrices du CEPD (les lignes directrices 2/2018 de l’EDPB sur les dérogations à l’article 49 en vertu du règlement 2016/679, adoptées le 25 mai 2018, p. 3), nous estimons que le recours au consentement des personnes concernées comme base légale au transfert de leurs données, sans protection suffisante, ne doit pas devenir « la règle » dans la pratique, mais doit être limité à des situations spécifiques.
Et le CLOUD Act dans tout ça ?
Le MagIT a également demandé à Nicolas Samarcq ce qu’il pensait de la problématique du CLOUD Act en rapport avec la fin du Privacy Shield.
Dans cette tribune, l’expert évoque en effet la nécessité de localiser ses données en Europe. Or les données gérées par des prestataires américains – et mêmes si elles sont stockées en Europe – sont soumises au droit américain du fait que c’est la nationalité du prestataire qui compte et non la localisation « physique » des données (en clair : le datacenter d’un GAFAM en France est soumis au droit américain).
Cela pose-t-il – ou non – un problème au regard de la décision de CJUE ? Voici sa réponse :
« Ce n’est pas seulement le traitement objet du transfert qu’il faut à mon sens examiner, mais tout l’environnement légal de la société US qui stocke les données en UE.
À cet égard, la situation créée par la décision de la Haute Cour irlandaise est intéressante : elle interdit à Facebook de transférer les données stockées en Irlande aux US.
Quid, si Facebook fait l’objet d’une réquisition de la NSA autorisée par une juridiction US en vertu du FISA ?
Pour nous, c’est la nationalité même de la société hébergeur qui pose souci, de par la législation à laquelle sont soumises ses filiales ».
L’auteur
Nicolas Samarcq est Trésorier de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) qui regroupe les Délégués à la protection des données (DPO). Il est également Fondateur du cabinet Lexagone, spécialisé dans la mise en conformité RGPD des structures privées et publiques.
Pour approfondir sur SaaS
-
Data privacy Framework : un accord qui passe difficilement en Europe
-
RGPD : la Commission européenne veut harmoniser le traitement des dossiers transfrontaliers
-
Recommandations 2.0 du CEPD : quelles évolutions pour les exportateurs de données ?
-
Nouvelles CCT de la Commission européenne : les DPO n’y trouvent pas leur compte