Avec l’invalidation du Privacy shield, les transferts de données deviennent particulièrement complexes pour les entreprises. L’Association française des correspondants à la protection des données (AFCDP) donne son point de vue.
La Cour de justice de l’Union européenne (CJUE) a décidé d’invalider la décision de la Commission européenne qui établissait le « Privacy Shield ». Dans ce même arrêt, la Cour confirme au contraire la validité de la décision relative aux Clauses contractuelles types (CCT). Néanmoins, la CJUE rappelle que les personnes concernées par des données transférées doivent bénéficier d’un niveau de protection équivalant à celui garanti au sein de l’Union Européenne par le RGPD, et que cette protection doit être évaluée, au-delà des clauses contractuelles, en tenant compte du cadre juridique d’un éventuel accès par les autorités publiques du pays tiers. Lire l‘article juridique de l’Avocat garance Mathias sur les nouveaux enjeux des transferts hors UE .
Une situation opérationnelle complexe
Les responsables de traitement européens sont face à un dilemme, explique l’AFCDP : « maintenir les traitements comportant des transferts vers les États-Unis avec l’incertitude actuelle et le risque de sanctions éventuelles, ou renoncer à tout traitement de ce type, et revoir intégralement leur architecture et leurs solutions informatiques, en excluant d’innombrables solutions parmi les plus innovantes, à commencer par celles de grands acteurs du Web, ce qui peut impliquer des coûts de structure significatifs et ne peut s’envisager que sur plusieurs années. »
Etats-Unis : une situation ambigüe
Si l’AFCDP considère que cette décision est positive « car elle va faire progresser les droits des européens », elle s’inquiète de la situation ambigüe réservée par la Commission européenne aux États-Unis. En effet, alors que les décisions d’adéquation permettent de constater que « des pays tiers (Argentine, Israël, Japon, Nouvelle-Zélande, Suisse, Uruguay…) offrent un niveau de protection des données équivalant à celui du RGPD, les États-Unis qui ne sont pas considérés comme un pays « adéquat » pourraient bénéficier de mécanismes spécifiques successivement invalidés par la justice. »
Enfin, selon l’arrêt de la CJUE, l’outil des « clauses contractuelles types » semble d’une manipulation délicate, car s’il encadre les pratiques des fournisseurs, il ne préjuge pas de celles des États. Quand bien même les CCT imposent aux entreprises exportatrices et importatrices d’apprécier le risque du transfert pour les données et de suspendre le transfert en cas de risque, l’AFCDP trouve « disproportionné de faire peser sur les entreprises l’analyse du régime juridique applicable aux services de renseignement du pays importateur. Ce régime juridique est particulièrement complexe et opaque. »
Au-delà du transfert de données personnelles vers les États-Unis, la question se pose des transferts vers les autres pays « non adéquats », détaille l’AFCDP, en particulier ceux dont « les services de renseignement sont particulièrement actifs ». Pour utiliser des CCT, il faudrait donc « maîtriser les lois du renseignement de chacun de ces pays. La tâche paraît bien lourde ».
Adopter une position pragmatique
Dans ce contexte, l’AFCDP suggère aux organismes concernés de tenir, à court terme, une position pragmatique. « S’il n’est pas possible d’éviter un transfert de données personnelles vers les États-Unis, il convient d’exiger, à titre de protection minimale, la signature de clauses contractuelles conformes aux CCT de la Commission européenne ».
Mais pour l’AFCDP, il faut que les Cnils européennes formulent rapidement « une recommandation commune et sans ambigüité sur les mesures de protection à mettre en œuvre et les lignes directrices permettant aux organismes concernés de poursuivre leurs activités impliquant des fournisseurs américains, dans des conditions de sécurité juridique optimales. »
