Privacy Shield, le feuilleton continue !

Dans un épisode précédent, nous vous contions comment le temps s’était arrêté quand, en ce jour de juillet, la CJUE avait rendu son arrêt Schrems II, qui invalidait le Privacy Shield.

Pour rappel, le Privacy Shield c’est cet accord qui permettait, depuis 2016, de transférer des données personnelles entre les Etats-Unis et l’Union Européenne sur le fondement d’une décision d’adéquation de la Commission Européenne.

A la suite de cette invalidation, la première question fut naturellement de savoir comment maintenir les transferts de données vers les US dans le respect des dispositions légales.

Sur le papier, rien de plus simple ! En effet, le RGPD a plus d’un tour dans son sac et propose un panel de mesures de « garanties appropriées » permettant de transférer des données à caractère personnel hors de l’Union Européenne en l’absence de décision d’adéquation.

Ainsi, le règlement livre un inventaire à la Prévert de garanties appropriées : « un instrument juridiquement contraignant et exécutoire », « des règles d’entreprise contraignantes », « des clauses types de protection des données adoptées par la Commission »…

Ainsi, la fameuse firme de Marc Zukerberg, dont le siège social se situe en Irlande, a pris le parti de mettre en œuvre des clause contractuelles type afin de conserver la possibilité de transférer les données de ses utilisateurs européens vers le pays de l’Oncle Sam.

C’était sans compter sur l’avis de la Irish Data Protection Commission (DPC) (équivalent de la CNIL en Irlande). En effet, sans remettre en cause la validité générale de l’usage des clauses contractuelles types pour les transferts hors UE, la DPC considère, pour autant, qu’elles ne peuvent pas être utilisées pour les transferts EU-US. En cause, les pratiques généralisées de surveillance de l’Etat américain (déjà à l’origine de l’invalidation du Privacy Shield) qui ont donc conduit la CNIL Irlandaise à considérer que les transferts de données hors UE devraient être suspendu en ce qu’ils ne sont pas en mesure de garantir un niveau de protection équivalent à celui garanti par le RGPD.

La réponse du berger à la bergère ne s’est pas fait attendre, peu de temps après, Yvonne Cunnane (Responsable de la protection des données chez Facebook) indiquait au cours d’une déclaration sous serment : « On ne voit pas comment, dans ces circonstances, Facebook pourrait continuer à fournir les services Facebook et Instagram dans l’Union européenne ». Venait s’y ajouter une deuxième salve de la firme américaine annonçant dans une déclaration écrite au tribunal que la décision de la DPC pourrait forcer la compagnie à quitter l’Europe en abandonnant ses 410 millions d’utilisateurs.

Aussi anecdotique que soit cette affaire, elle a le mérite de parfaitement illustrer la situation d’incertitude qui demeure depuis le 16 juillet 2020. En l’absence de clarification des instances européennes et nationales, les transferts entre l’Union Européenne et les Etats-Unis semblent être à éviter. Dans ce contexte, les organismes doivent porter une attention toute particulière aux transferts de données vers les US. Celle-ci se traduit également par une vigilance accrue dans le choix des sous-traitants et incite à engager une réflexion sur les alternatives aux prestataires américains.

Affaire à suivre…