De grands débats ont eu lieu au sujet des transferts de données à caractère personnel de l’Union européenne vers les pays extérieurs. Ils ont mené à la décision du 16 juillet dernier, de la Cour de Justice de l’Union Européenne (CJUE). Très attendu, cet arrêt est venu bouleverser les pratiques en invalidant le Privacy Shield. Ce fut la rupture des accords entre l’Europe et les Etats-Unis. Découvrez l’origine du débat, les fondements de la décision et ses impacts sur le transfert de données personnels aux Etats-Unis.
L’origine du débat
En 2013, M. Maximilian Schrems, homme européen, a saisi le Commissaire irlandais à la protection des données. Il demandait l’interdiction à Facebook Ireland Ltd de transférer ses données à caractère personnel vers les États-Unis. Il dénonçait les activités de surveillance de masse américaines. Aussi, il soulevait le fait que la réglementation en vigueur aux USA ne garantissait pas les mêmes droits que la réglementation européenne (RGPD/GDPR).
Maximilian Schrems est un défenseur engagé pour la protection des données personnelles. Dans ce cadre, il a initié « Europe vs Facebook » dont il est à la tête. Le but de cette démarche est de forcer le célèbre réseau social Facebook à se mettre en conformité avec le droit en matière de protection des données. Sa plainte de 2013 est l’une des nombreuses plaintes qu’il a déposé dans le cadre de cette démarche.
La décision et ses fondements
Suite à la plainte de M. Schrems, la Commission européenne prit une première décision en 2016. Elle concluait que le Privacy Shield offrait une protection suffisante pour l’encadrement des transferts de données personnelles aux Etats-Unis. Néanmoins, cette décision a été invalidée par l’arrêt du 16 juillet 2020 de la CJUE. Cet arrêt sonne la rupture des accords entre l’Europe et les États-Unis. Les fondements cités pour cette nouvelle décision sont :
- Les clauses contractuelles types ne garantissent pas suffisamment l’encadrement des transferts de données. La cour demande la mise en place de clauses de garanties supplémentaires ;
- Les programmes de surveillance américains ne respectent pas les mêmes règles que celles en vigueur en Europe ;
- Il n’y a pas de recours effectif pour les personnes qui souhaitent faire valoir leurs droits en cas d’ingérence des autorités américaines. La Charte des droits fondamentaux de l’union européenne impose cette possibilité.
Les impacts de la rupture des accords entre l’Europe et les Etats-Unis
Suite à cette décision, chaque entreprise effectuant des transferts de données à caractère personnel depuis l’Europe vers les Etats-Unis, doit modifier ses pratiques. Pour continuer ses transferts, elle doit apporter des garanties supplémentaires. Or, difficile pour elle de s’inspirer des clauses contractuelles types fournies dans l’article 46 du RGPD. En effet, celles-ci sont jugées insuffisantes par la CJUE.
La CJUE n’a pas préconisé de types de mesures permettant d’appliquer la loi et d’assurer une protection adéquate. Face à ce brouillard juridique, les groupes internationaux ont du mal à se mettre en conformité. Personne n’est épargné, des entreprises telles que Facebook et Google sont également concernées. Leurs transferts de données à caractère personnel n’ont pas de base légale.
Notons que cette problématique n’est pas propre aux Etats-Unis. Elle existe également dans les transferts de données de l’Union Européenne et vers de nombreux autres pays tiers qui n’apportent pas les garanties exigées.
Quelles sont les incidences de cette rupture pour les PME ?
Suite à cette rupture, les entreprises doivent être vigilantes. Elles doivent impérativement :
- s’assurer de la conformité de leurs logiciels. Pour cela, il est nécessaire de référencer les outils utilisés mais aussi de localiser leurs lieux d’hébergements ;
- évaluer le risque d’utilisation pour les hébergements dans les pays adéquats (USA) et non adéquats ;
- se rapprocher de leur DPO pour s’assurer qu’elles répondent bien aux obligations de moyens relatives à la sécurité des données personnelles dématérialisées ;
- pour le choix de nouveaux logiciels, il faut à présent être dans une démarche Privacy by default / design.