Invalidation du « Privacy shield » : 12 questions-réponses du CEPD

Invalidation du « Privacy shield » : 12 questions-réponses du CEPD

Suite à l’arrêt de la Cour de justice de l’Union européenne invalidant le Privacy Shield (affaire « Schrems II »), le CEPD offre de premiers éléments de réponse aux questions les plus fréquemment posées, dans un document qui sera complété au fur et à mesure des futures analyses complémentaires.

1. Sur quoi la CJUE a-t-elle statué dans son arrêt ?

2. L’arrêt de la CJUE a-t-il des implications sur les outils de transfert autres que le Privacy Shield ?

3. Existe-t-il un délai de grâce pendant lequel je peux continuer à transférer des données aux États-Unis sans évaluer la base légale du transfert ?

4. Je transférais des données à un importateur de données américain adhérant au Privacy Shield, que dois-je faire maintenant ?

5. J’utilise des CCT avec un importateur de données aux États-Unis, que dois-je faire ?

6. J’utilise des règles d’entreprise contraignantes (« BCR ») avec une entité aux États-Unis, que dois-je faire ?

7. Qu’en est-il des autres outils de transfert prévus à l’article 46 du RGPD ?

8. Puis-je me prévaloir d’une des dérogations de l’article 49 du RGPD pour transférer des données aux États-Unis ?

9. Puis-je continuer à utiliser les CCT ou les BCR pour transférer des données vers un autre pays tiers que les États-Unis ?

10. Quel type de mesures supplémentaires puis-je introduire si j’utilise des CCT ou des BCR pour transférer des données à des pays tiers ?

11. J’ai un sous-traitant qui traite des données dont je suis responsable en tant que responsable du traitement, comment puis-je savoir si ce sous-traitant transfère des données vers les États-Unis ou vers un autre pays tiers ?

12. Que puis-je faire pour continuer à utiliser les services de mon sous-traitant si le contrat signé conformément à l’article 28.3 du RGPD indique que les données peuvent être transférées aux États-Unis ou dans un autre pays tiers ?

Commentaire de notre Expert


1. Sur quoi la CJUE a-t-elle statué dans son arrêt ?

De façon générale, s’agissant des pays tiers, il y a lieu d’appliquer le même degré d’exigence que celui fixé par la CJUE dans son arrêt pour déterminer les « garanties appropriées » (article 46 du RGPD) qui doivent encadrer les transferts de données de l’EEE vers tout pays tiers. La législation américaine mentionnée par la CJUE (c’est-à-dire la section 702 du FISA et l’Executive Order 12333) s’applique à tout transfert vers les États-Unis par voie électronique qui relève du champ d’application de cette législation, quel que soit l’outil de transfert utilisé pour le transfert (l’article 702 du FISA s’applique à tous les “fournisseurs de services de communication électronique” (voir la définition figurant à l’article 50 USC § 1881(b)(4)), tandis que l’Executive Order 12333 organise la surveillance électronique, qui est définie comme « l’acquisition d’une communication non publique par des moyens électroniques sans le consentement d’une personne qui est partie à une communication électronique ou, dans le cas d’une communication non électronique, sans le consentement d’une personne qui est visiblement présente sur le lieu de la communication, à l’exclusion de l’utilisation d’un équipement radiogoniométrique uniquement pour déterminer l’emplacement d’un émetteur » (3.4 ; b)).

[Retour en haut de page]

2. L’arrêt de la CJUE a-t-il des implications sur les outils de transfert autres que le Privacy Shield ?

De façon générale, s’agissant des pays tiers, il y a lieu d’appliquer le même degré d’exigence que celui fixé par la CJUE dans son arrêt pour déterminer les « garanties appropriées » (article 46 du RGPD) qui doivent encadrer les transferts de données de l’EEE vers tout pays tiers. La législation américaine mentionnée par la CJUE (c’est-à-dire la section 702 du FISA et l’Executive Order 12333) s’applique à tout transfert vers les États-Unis par voie électronique qui relève du champ d’application de cette législation, quel que soit l’outil de transfert utilisé pour le transfert (l’article 702 du FISA s’applique à tous les “fournisseurs de services de communication électronique” (voir la définition figurant à l’article 50 USC § 1881(b)(4)), tandis que l’Executive Order12333 organise la surveillance électronique, qui est définie comme « l’acquisition d’une communication non publique par des moyens électroniques sans le consentement d’une personne qui est partie à une communication électronique ou, dans le cas d’une communication non électronique, sans le consentement d’une personne qui est visiblement présente sur le lieu de la communication, à l’exclusion de l’utilisation d’un équipement radiogoniométrique uniquement pour déterminer l’emplacement d’un émetteur » (3.4 ; b)).

[Retour en haut de page]

3. Existe-t-il un délai de grâce pendant lequel je peux continuer à transférer des données aux États-Unis sans évaluer la base légale du transfert ?

Non, la CJUE a invalidé la décision sur le Privacy Shield sans en maintenir les effets, parce que la loi américaine évaluée par la CJUE ne fournit pas un niveau de protection essentiellement équivalent à celui de l’UE. Cette évaluation de de la législation américaine doit être prise en compte pour tout transfert vers les États-Unis.

[Retour en haut de page]

4. Je transférais des données à un importateur de données américain adhérant au Privacy Shield, que dois-je faire maintenant ?

Les transferts effectués sur la base de ce cadre juridique sont illégaux. Si vous souhaitez continuer à transférer des données vers les États-Unis, vous devez vérifier si vous pouvez le faire dans les conditions définies ci-dessous.

[Retour en haut de page]

5. J’utilise des CCT avec un importateur de données aux États-Unis, que dois-je faire ?

La Cour a estimé que le droit américain (c’est-à-dire la section 702 du FISA et l’Executive Order 12333) n’assure pas un niveau de protection essentiellement équivalent (voir en particulier le considérant 145 de l’arrêt de la Cour, et la clause 4(g) de la décision 2010/87/UE de la Commission, ainsi que la clause 5(a) de la décision 2001/497/CE de la Commission et l’annexe II (c) de la décision 2004/915/CE de la Commission).

Que vous puissiez ou non transférer des données personnelles sur la base des CCT dépendra du résultat de votre évaluation, qui tiendra compte des circonstances des transferts, et des mesures supplémentaires que vous pourriez mettre en place. L’ensemble formé par les mesures supplémentaires et les CCT, après une analyse au cas par cas des circonstances entourant le transfert, devra garantir que la législation américaine ne compromet pas sur le niveau de protection adéquat que les clauses et ces mesures garantissent.

Si vous arrivez à la conclusion que, compte tenu des circonstances du transfert et d’éventuelles mesures supplémentaires, le respect des garanties appropriées ne serait pas assuré, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles. Toutefois, si vous avez l’intention de continuer à transférer des données en dépit de cette conclusion, vous devez notifier votre autorité de contrôle compétente (voir en particulier le considérant 145 de l’arrêt de la Cour et la clause 4(g) de la décision 2010/87/UE de la Commission. Voir également la section 6.3 WP256 rev.01 (Groupe de travail Article 29, Document de travail établissant un tableau des éléments et principes figurant dans les RCB, approuvé par le CEPD), et la section 6.3 du formulaire WP 257 rev.01 (Groupe de travail Article 29, Document de travail établissant un tableau des éléments et principes figurant dans les RCB des transformateurs, approuvé par le CEPD).

[Retour en haut de page]

6. J’utilise des règles d’entreprise contraignantes (« BCR ») avec une entité aux États-Unis, que dois-je faire ?

Étant donné le jugement de la CJUE, qui a invalidé le Privacy Shield en raison du degré d’interférence créé par la loi des États-Unis avec les droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers, et le fait que le Privacy Shield a également été conçu pour apporter des garanties aux données transférées avec d’autres outils tels que les règles d’entreprise contraignantes (« BCR »), le jugement de la CJUE s’applique également dans le contexte des BCR, puisque la loi américaine primera également sur cet outil.

Que vous puissiez ou non transférer des données personnelles sur la base de BCR dépendra du résultat de votre évaluation, qui tiendra compte des circonstances des transferts et des mesures supplémentaires que vous pourriez mettre en place. L’ensemble formé par les mesures supplémentaires et les BCR, après une analyse au cas par cas des circonstances entourant le transfert, devra garantir que la législation américaine n’empiète pas sur le niveau de protection adéquat que les BCR et ces mesures garantissent.

Si vous arrivez à la conclusion que, compte tenu des circonstances du transfert et d’éventuelles mesures supplémentaires, le respect des garanties appropriées ne serait pas assuré, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles. Toutefois, si vous avez l’intention de continuer à transférer des données en dépit de cette conclusion, vous devez notifier votre autorité de contrôle compétente.
[Retour en haut de page]

7. Qu’en est-il des autres outils de transfert prévus à l’article 46 du RGPD ?

Le CEPD évaluera les conséquences de l’arrêt sur les autres outils de transfert que les CCT et les BCR. L’arrêt précise que le standard pour les garanties appropriées de l’article 46 du RGPD est celui de « l’équivalence essentielle ».

Comme l’a souligné la CJUE, il convient de noter que cet article 46 figure au chapitre V du RGPD et, par conséquent, doit être lu à la lumière de l’article 44 du RGPD, qui dispose que « toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis ».
[Retour en haut de page]

8. Puis-je me prévaloir d’une des dérogations de l’article 49 du RGPD pour transférer des données aux États-Unis ?

Il est encore possible de transférer des données de l’EEE vers les États-Unis sur la base des dérogations prévues à l’article 49 du RGPD, à condition que les conditions énoncées dans cet article s’appliquent. Le RGPD renvoie à ses lignes directrices sur cette disposition (voir les lignes directrices 2/2018 de l’EDPB sur les dérogations à l’article 49 en vertu du règlement 2016/679, adoptées le 25 mai 2018, p.3).

En particulier, il convient de rappeler que lorsque les transferts sont fondés sur le consentement de la personne concernée, ils doivent être : explicite ; spécifique au transfert ou à l’ensemble de transferts de données (ce qui signifie que l’exportateur de données doit s’assurer d’obtenir un consentement spécifique avant la mise en place du transfert, même si celui-ci a lieu après la collecte des données) ; et éclairé, notamment des risques éventuels du transfert (ce qui signifie que la personne concernée doit également être informée des risques spécifiques résultant du fait que ses données seront transférées vers un pays qui n’offre pas une protection adéquate et qu’aucune garantie adéquate visant à assurer la protection des données n’est mise en œuvre).

En ce qui concerne les transferts nécessaires à l’exécution d’un contrat entre la personne concernée et le responsable du traitement, il convient de garder à l’esprit que les données personnelles ne peuvent être transférées que lorsque le transfert est occasionnel. Il conviendrait d’établir au cas par cas si les transferts de données doivent être considérés comme « occasionnels » ou « non occasionnels ». En tout état de cause, cette dérogation ne peut être invoquée que lorsque le transfert est objectivement nécessaire à l’exécution du contrat.

En ce qui concerne les transferts nécessaires pour des raisons importantes d’intérêt public (qui doit être reconnu dans la législation de l’UE ou des États membres (les références aux « États membres » doivent être comprises comme des références aux « États membres de l’EEE »)), le CEPD rappelle que l’exigence essentielle pour l’applicabilité de cette dérogation est la constatation d’un intérêt public important et non la nature de l’organisation, et que bien que cette dérogation ne soit pas limitée aux transferts de données « occasionnels », cela ne signifie pas que les transferts de données sur la base de la dérogation d’intérêt public important peuvent avoir lieu à grande échelle et de manière systématique. Il convient plutôt de respecter le principe général selon lequel les dérogations prévues à l’article 49 du RGPD ne doivent pas devenir « la règle » dans la pratique, mais doivent être limitées à des situations spécifiques et chaque exportateur de données doit s’assurer que le transfert répond au critère de stricte nécessité.
[Retour en haut de page]

9. Puis-je continuer à utiliser les CCT ou les BCR pour transférer des données vers un autre pays tiers que les États-Unis ?

La CJUE a indiqué qu’en règle générale, les CCT peuvent toujours être utilisées pour transférer des données vers un pays tiers, mais le seuil fixé par la Cour pour les transferts vers les États-Unis s’applique à tout pays tiers. Il en va de même pour les BCR.

La CJUE a souligné qu’il incombe à l’exportateur et à l’importateur de données d’évaluer si le niveau de protection requis par le droit de l’UE est respecté dans le pays tiers concerné afin de déterminer si les garanties fournies par les CCT ou les BCR peuvent être respectées dans la pratique. Si ce n’est pas le cas, vous devez évaluer si vous pouvez prévoir des mesures supplémentaires pour assurer un niveau de protection essentiellement équivalent à celui prévu dans l’EEE, et si la législation du pays tiers n’empiétera pas sur ces mesures supplémentaires de manière à les priver d’effectivité.

Vous pouvez contacter votre importateur de données pour vérifier la législation de son pays et collaborer à son évaluation. Si vous ou l’importateur de données dans le pays tiers estimez que les données transférées en vertu des CCT ou des BCR ne bénéficient pas d’un niveau de protection essentiellement équivalent à celui garanti dans l’Espace économique européen (EEE), vous devez immédiatement suspendre les transferts. Si vous ne suspendez pas les transferts, vous devez en informer votre autorité de contrôle compétente. Bien que, comme l’a souligné la Cour, il incombe en premier lieu aux exportateurs et aux importateurs de données d’évaluer eux-mêmes si la législation du pays tiers de destination permet à l’importateur de données de se conformer aux clauses types de protection des données ou aux BCR, avant de transférer des données personnelles vers ce pays tiers, les autorités de protection des données auront également un rôle clé à jouer dans l’application du RGPD et lorsqu’elles prendront des décisions sur les transferts vers des pays tiers.

Comme la CJUE les y a invitées, afin d’éviter des décisions divergentes, elles poursuivront donc leurs travaux au sein du CEPD afin de rester cohérentes, notamment si les transferts vers des pays tiers doivent être interdits.
[Retour en haut de page]

10. Quel type de mesures supplémentaires puis-je introduire si j’utilise des CCT ou des BCR pour transférer des données à des pays tiers ?

Les mesures complémentaires que vous pourriez envisager le cas échéant devraient être fournies au cas par cas, en tenant compte de toutes les circonstances du transfert et après évaluation de la législation du pays tiers, afin de vérifier si elle assure un niveau de protection adéquat.

La CJUE a souligné qu’il incombe en premier lieu à l’exportateur et à l’importateur de données de procéder à cette évaluation et de prévoir les mesures complémentaires nécessaires.

Le CEPD analyse actuellement l’arrêt de la Cour afin de déterminer le type de mesures complémentaires qui pourraient être fournies en plus des CCT ou des BCR, qu’il s’agisse de mesures juridiques, techniques ou organisationnelles, pour transférer des données vers des pays tiers où les CCT ou les BCR ne fourniront pas à eux seuls le niveau de garanties suffisant.

Le CEPD analyse plus en détail en quoi pourraient consister ces mesures supplémentaires et fournira davantage d’orientations ultérieurement.
[Retour en haut de page]

11. J’ai un sous-traitant qui traite des données dont je suis responsable en tant que responsable du traitement, comment puis-je savoir si ce sous-traitant transfère des données vers les États-Unis ou vers un autre pays tiers ?

Le contrat que vous avez conclu avec votre sous-traitant conformément à l’article 28.3 du RGPD doit prévoir si les transferts sont autorisés ou non (il faut garder à l’esprit que même le fait de donner accès à des données provenant d’un pays tiers, par exemple à des fins administratives, équivaut également à un transfert).

Une autorisation doit également être fournie  pour que les sous-traitants puissent confier à des sous-traitants secondaires le transfert de données vers des pays tiers. Vous devez être attentif et prudent, car une grande variété de solutions informatiques peut impliquer le transfert de données personnelles vers un pays tiers (par exemple, à des fins de stockage ou de maintenance).
[Retour en haut de page]

12. Que puis-je faire pour continuer à utiliser les services de mon sous-traitant si le contrat signé conformément à l’article 28.3 du RGPD indique que les données peuvent être transférées aux États-Unis ou dans un autre pays tiers ?

Si vos données peuvent être transférées aux États-Unis et qu’aucune mesure supplémentaire ne peut être prévue pour garantir que la législation américaine n’affecte pas le niveau de protection essentiellement équivalent à celui offert dans l’EEE par les outils de transfert, ni qu’aucune dérogation au titre de l’article 49 du RGPD ne s’applique, la seule solution est de négocier un avenant ou une clause supplémentaire à votre contrat pour interdire les transferts vers les États-Unis. Les données doivent non seulement être stockées mais aussi administrées ailleurs qu’aux États-Unis.

Si vos données peuvent être transférées vers un autre pays tiers, vous devez également vérifier la législation de ce pays tiers pour vous assurer qu’elle est conforme aux exigences de la CJUE et au niveau de protection des données personnelles attendu. Si aucune base légale de transfert vers un pays tiers ne peut être trouvée, les données personnelles ne doivent pas être transférées en dehors du territoire de l’EEE et toutes les activités de traitement doivent avoir lieu dans l’EEE.
[Retour en haut de page]


Source :Invalidation du « Privacy shield » : les premières questions-réponses du CEPD | CNIL

Cette page est une traduction, par la CNIL, du document original diffusé par le CEPD. En cas d’incohérence ou de divergence entre cette page et la version anglaise, seule la version anglaise fait foi.



Commentaire de notre Expert – Denis JACOPINI

Je suis Denis JACOPINI – Expert informatique formé par la CNIL depuis 2012.

Après avoir lu ces informations, j’ai souhaité réagir.

La Cour de justice de l’UE (CJUE) a rendu jeudi 16 juillet 2020 un arrêt dans l’affaire connue sous le nom de Schrems II (C-3111/18), dans laquelle les mécanismes de transfert de données personnelles entre l’UE et les États-Unis ont été contestés. L’argument est que la législation américaine ne peut pas garantir de manière adéquate la protection des données personnelles en provenance de l’UE.

Cette invalidation du Pricacy Shield n’est pas à prendre à la légère car non seulement il est très dififcile pour un responsable de traitement d’avoir la certitude que ses données n’ont pas franchi l’atlantique pour aller rejoindre le pays de l’oncle Sam mais également, c’est aussi parfois un casse-tête de touver des solutions alternatives.

Qui n’utilise pas Google Drive, Dropbox, Gmail, Office 365… ?

Est ce que l’utilisation de ces outils pour y déposer des données à caractère personnel sensibles ou non va rester illégal longtemps ?

Nous ne sommes qu’au début de cette période étrange…

Que vous soyez d’accord ou pas, exprimez-vous en laissant un commentaire. En plus d’informer, ces articles ont aussi pour but d’échanger autour du thème abordé.
Les infos collectées le sont à des fins de détection de fraudes. Seul votre nom ou pseudo sera affiché en plus de votre commentaire horodaté.

Laisser un commentaire