A quand le Privacy Shield 2.0 ?

A quand le Privacy Shield 2.0 ?
Article RGPD

Souvenez-vous, nous sommes le 6 octobre 2015 ; la Cour de Justice vient d’abroger le « Safe Harbor » qui autorisait partiellement les transferts de données à caractère personnel hors Union européenne vers les Etats-Unis. Qu’à cela ne tienne, une nouvelle décision d’adéquation voit le jour en 2016 ; il s’agit du Privacy Shield… Quatre ans plus tard, cette décision a été également abrogée par la Cour de Justice.

Pour vous rappeler les faits en bref :

Le Safe Harbor et le Privacy Shield, ont été tous deux abrogés par la Cour de Justice de l’Union européenne à la suite d’une question préjudicielle posée par la Haute Cour irlandaise (High Court), elle-même faisant suite à une plainte déposée auprès de l’autorité de contrôle irlandaise par Maximillian Schrems. A deux reprises donc, la question concernait le niveau de protection « adéquat » des Etats-Unis au regard de la règlementation européenne applicable en matière de protection des données… et c’est à deux reprises que la Cour de justice a décidé d’abroger ces décisions, estimant qu’elles ne permettaient pas de protéger les données personnelles de résidents de l’UE de manière adéquate, notamment du fait de la primauté des «exigences relatives à la sécurité nationale, [à] l’intérêt public et [au] respect des lois des États‑Unis» sur les principes de la sphère de sécurité. Primauté selon laquelle pouvait être écartés, sans limitation, les principes européens de protection des données dès lors qu’ils entraient en conflit avec les exigences des lois américaines.

De fait, la protection des données à caractère personnel s’avérait compromise.

Depuis 2020, aucune décision ne permettait donc de transmettre des données vers les Etats-Unis. Seules des garanties appropriées permettaient de palier ce défaut. Cependant, si vous avez suivi l’actualité vous avez probablement lu quelques articles relatifs à une sombre affaire « Google analytics ». Nous vous en parlions aussi ici.

Si vous n’avez pas suivi les dernières actualités, les faits sont simples : la CNIL ainsi que les autres autorités de contrôle européennes se sont penchées sur les transferts hors UE générés par l’utilisation de certains cookies (pour commencer, Google Analytics) et se sont aperçus d’un défaut de taille. Même si Google prévoit l’utilisation de clauses contractuelles types telles que prévues par le RGPD, l’applicabilité de ces clauses se trouvent compromises par les lois américaines.

Si on résume donc la situation : peu d’outils juridiques permettent d’encadrer les transferts hors UE vers les Etats-Unis…

Il semble pourtant qu’il y ait du nouveau à l’horizon : la commission européenne et les États-Unis ont convenu d’un accord de principe sur un nouveau cadre transatlantique de protection des données personnelles. Avant de pouvoir devenir une décision d’adéquation reconnue comme telle par la Commission européenne, il reste donc un peu de travail.

Selon le cadre de travail rendu public, ce nouvel accord de transfert transatlantique corrigerait les défauts des précédentes décisions d’adéquation.

Les points clés du projet d’accord sont notamment les suivants :

  • Les données pourront circuler librement et de façon sécurisée entre l’Union européenne et les sociétés américaines concernées par l’accord ;
  • De nouvelles règles contraignantes viendront limiter l’accès aux données par les agences de renseignements à ce qui est strictement nécessaire et proportionné aux besoins de sécurité nationale ;
  • Un nouveau système de recours à deux niveaux prendra place pour enquêter et résoudre les plaintes d’européens concernant l’accès des agences de renseignements à leurs données ;
  • Des contraintes plus fortes pour les entreprises qui prendront la voie de l’auto-certification pour bénéficier de la couverture de la future décision d’adéquation.

Alors cet accord corrigera-t-il réellement les défauts du Privacy Shield et du Safe Harbor ? A ce stade, il est difficile de l’affirmer. C’est ce que remarque d’ailleurs Maximillian Schrems puisqu’il n’y a pour l’instant aucun texte juridique à analyser, uniquement ce fameux accord de principe, ce qui pourrait d’ailleurs laisser entendre que certains problèmes ne sont en fait pas encore réglés.

Que pouvons-nous donc faire à notre niveau en attendant une solution juridique ?

La CNIL vous recommandera généralement d’utiliser des outils européens afin de limiter les risques liés aux transferts hors UE (quel que soit le pays de destination). Si cela n’est pas une option pour vous, n’oubliez pas que tout transfert hors UE vers un pays qui ne présente pas un niveau de protection adéquat devra être encadré par des garanties appropriées (BCR au sein d’un groupe, clauses contractuelles types, etc.) et au cas par cas, sur des dérogations prévues par le RGPD.

N’attendez donc pas que la Commission européenne adopte une nouvelle décision d’adéquation ! Sans oublier le fameux dicton « Jamais deux sans trois », car ce futur accord pourrait bien donner lieu à une jurisprudence Schrems III.

Sources :

Partager l'article

Articles similaires

Une sanction record prononcée par La Commission irlandaise de protection des données (DPC)
Article RGPD

Une sanction record prononcée par La Commission irlandaise de protection des données (DPC)

La Commission irlandaise de protection des données, autorité de contrôle en la matière, parfois appelée « le maillon faible » du RGPD, ou même le « goulot d’étranglement » du RGPD vient de frapper fort.
Lire la suite
(Encore) une affaire de prospection
Actualité Article RGPD

(Encore) une affaire de prospection

Une affaire qui à couté cher. Une sanction de 600 000 euros d'amande pour son procédé de prospection.
Lire la suite