À la suite de l’invalidation du Privacy Shield par la Cour de justice de l’Union Européenne – affaire « Schrems II » – dans une décision du 16 juillet 2020, de nombreuses questions se posent quant aux conséquences de cette décision. En effet, la CJUE a considéré que la législation américaine, permettant aux autorités publiques d’avoir accès sans limitation aux données personnelles transférées de l’UE vers les Etats-Unis, à des fins de sécurité nationale, portait atteinte aux « droits fondamentaux » des personnes.
De ce fait, de nombreuses interrogations se posent en cas de transfert direct de données vers les Etats-Unis ou lorsqu’un de nos sous-traitants transfère les données dont nous sommes responsables, en tant que Responsable de traitement, vers les Etats-Unis. Le Comité Européen de la Protection des Données – CEPD – à répondu à certaines de ces interrogations le 23 juillet 2020.
Y a-t-il un délai pendant lequel les transferts restent possibles ?
NON, les transferts de données réalisés sur la base du Privacy Shield sont considérés comme illégaux à compter du 16 juillet 2020 et doivent être arrêtés sans délais. A ce titre, Max SCHREMS a récemment déposé plainte contre 101 sites web appartenant à des entreprises dans 30 Etats membres dont la France, tels que Le Huffigton Post, Leroy Merlin, Decathlon, Free Mobile, Auchan ou encore Sephora qui continueraient à transférer des données vers les Etats-Unis, via Google et Facebook depuis l’arrêt de la CJUE – source : https://www.zataz.com/six-societes-francaises-poursuivi-en-justice-pour-envoyer-des-donnees-aux-usa/ ).
Peut-on utiliser d’autres outils de transferts, prévus par le RGPD pour transférer des données vers les Etats-Unis ?
L’article 46 du RGPD prévoit d’autres bases légales que le Privacy Shield permettant de réaliser des transferts de données en dehors de l’UE. C’est notamment le cas des Clauses Contractuelles Types – CCT – ou des Règles d’Entreprise Contraignantes – dites « BCR ».
Le CEPD considère que, les CCT ou les BCR, en tant qu’outil conçu pour apporter des garanties en matière de protection des données, verront primer la loi américaine sur elles, au même titre que le Privacy Shield. Selon lui, les CCT ou les BCR ne peuvent donc, à elles seules, suffirent pour réaliser des transferts de données vers les Etats-Unis. En effet, le Comité estime qu’il conviendra d’analyser « au cas par cas » les circonstances du transfert ainsi que d’éventuelles mesures supplémentaires afin d’évaluer si la législation américaine ne compromet pas le niveau de protection garantit par les clauses – CCT ou BCR – et les mesures supplémentaires.
Existe-il des dérogations permettant de transférer des données aux Etats-Unis, en l’absence des garanties prévues par l’article 45 et 46 du RGPD ?
OUI, un certain nombre de dérogations à la réalisation de transferts de données en dehors de l’UE sont prévus par l’article 49 du RGPD. C’est le cas lorsque :
- la personne a expressément consenti à ce transfert
- le transfert est nécessaire à l’exécution d’un contrat et est occasionnel
- le transfert est nécessaire pour des raisons d’intérêt public selon la législation de l’UE ou d’un Etat-membre.
Le CEPD a considéré que ces dérogations étaient toujours applicables en cas de transfert de données vers les Etats-Unis.
Le Comité complétera au fur et à mesure son analyse et mettra à jour ces recommandations en la matière.