fbpx

privacy shield

pvicay shield et rgpd

Privacy Shield, le feuilleton continue !

Privacy Shield, le feuilleton continue ! 960 640 Optimex Data

Optimex Data vous présente les dernières actualités sur le sujet du Privacy Shield et RGPD

Privacy Shield et RGPD

Dans un épisode précédent, nous vous contions comment le temps s’était arrêté quand, en ce jour de juillet, la CJUE avait rendu son arrêt Schrems II, qui invalidait le Privacy Shield.

Pour rappel, le Privacy Shield c’est cet accord qui permettait, depuis 2016, de transférer des données personnelles entre les Etats-Unis et l’Union Européenne sur le fondement d’une décision d’adéquation de la Commission Européenne.

Alternatives au Privacy Shield

A la suite de cette invalidation, la première question fut naturellement de savoir comment maintenir les transferts de données vers les US dans le respect des dispositions légales.

Sur le papier, rien de plus simple ! En effet, le RGPD a plus d’un tour dans son sac et propose un panel de mesures de « garanties appropriées » permettant de transférer des données à caractère personnel hors de l’Union Européenne en l’absence de décision d’adéquation.

Ainsi, le règlement livre un inventaire à la Prévert de garanties appropriées : « un instrument juridiquement contraignant et exécutoire », « des règles d’entreprise contraignantes », « des clauses types de protection des données adoptées par la Commission »

Ainsi, la fameuse firme de Marc Zukerberg, dont le siège social se situe en Irlande, a pris le parti de mettre en œuvre des clause contractuelles type afin de conserver la possibilité de transférer les données de ses utilisateurs européens vers le pays de l’Oncle Sam.

C’était sans compter sur l’avis de la Irish Data Protection Commission (DPC) (équivalent de la CNIL en Irlande). En effet, sans remettre en cause la validité générale de l’usage des clauses contractuelles types pour les transferts hors UE, la DPC considère, pour autant, qu’elles ne peuvent pas être utilisées pour les transferts EU-US. En cause, les pratiques généralisées de surveillance de l’Etat américain (déjà à l’origine de l’invalidation du Privacy Shield) qui ont donc conduit la CNIL Irlandaise à considérer que les transferts de données hors UE devraient être suspendu en ce qu’ils ne sont pas en mesure de garantir un niveau de protection équivalent à celui garanti par le RGPD.

Facebook se rebelle …

La réponse du berger à la bergère ne s’est pas fait attendre, peu de temps après, Yvonne Cunnane (Responsable de la protection des données chez Facebook) indiquait au cours d’une déclaration sous serment : « On ne voit pas comment, dans ces circonstances, Facebook pourrait continuer à fournir les services Facebook et Instagram dans l’Union européenne ». Venait s’y ajouter une deuxième salve de la firme américaine annonçant dans une déclaration écrite au tribunal que la décision de la DPC pourrait forcer la compagnie à quitter l’Europe en abandonnant ses 410 millions d’utilisateurs.

Aussi anecdotique que soit cette affaire, elle a le mérite de parfaitement illustrer la situation d’incertitude qui demeure depuis le 16 juillet 2020. En l’absence de clarification des instances européennes et nationales, les transferts entre l’Union Européenne et les Etats-Unis semblent être à éviter. Dans ce contexte, les organismes doivent porter une attention toute particulière aux transferts de données vers les US. Celle-ci se traduit également par une vigilance accrue dans le choix des sous-traitants et incite à engager une réflexion sur les alternatives aux prestataires américains.

Affaire à suivre…

Privacy Shield … la suite ?

Privacy Shield … la suite ? 1260 840 Optimex Data

À la suite de l’invalidation du Privacy Shield par la Cour de justice de l’Union Européenne – affaire « Schrems II » – dans une décision du 16 juillet 2020, de nombreuses questions se posent quant aux conséquences de cette décision. En effet, la CJUE a considéré que la législation américaine, permettant aux autorités publiques d’avoir accès sans limitation aux données personnelles transférées de l’UE vers les Etats-Unis, à des fins de sécurité nationale, portait atteinte aux « droits fondamentaux » des personnes.

De ce fait, de nombreuses interrogations se posent en cas de transfert direct de données vers les Etats-Unis ou lorsqu’un de nos sous-traitants transfère les données dont nous sommes responsables, en tant que Responsable de traitement, vers les Etats-Unis. Le Comité Européen de la Protection des Données – CEPD – à répondu à certaines de ces interrogations le 23 juillet 2020.

Y a-t-il un délai pendant lequel les transferts restent possibles ?

NON, les transferts de données réalisés sur la base du Privacy Shield sont considérés comme illégaux à compter du 16 juillet 2020 et doivent être arrêtés sans délais. A ce titre, Max SCHREMS a récemment déposé plainte contre 101 sites web appartenant à des entreprises dans 30 Etats membres dont la France, tels que Le Huffigton Post, Leroy Merlin, Decathlon, Free Mobile, Auchan ou encore Sephora qui continueraient à transférer des données vers les Etats-Unis, via Google et Facebook depuis l’arrêt de la CJUE – source : https://www.zataz.com/six-societes-francaises-poursuivi-en-justice-pour-envoyer-des-donnees-aux-usa/ ).

Peut-on utiliser d’autres outils de transferts, prévus par le RGPD pour transférer des données vers les Etats-Unis ?

L’article 46 du RGPD prévoit d’autres bases légales que le Privacy Shield permettant de réaliser des transferts de données en dehors de l’UE. C’est notamment le cas des Clauses Contractuelles Types – CCT – ou des Règles d’Entreprise Contraignantes – dites « BCR ».

Le CEPD considère que, les CCT ou les BCR, en tant qu’outil conçu pour apporter des garanties en matière de protection des données, verront primer la loi américaine sur elles, au même titre que le Privacy Shield. Selon lui, les CCT ou les BCR ne peuvent donc, à elles seules, suffirent pour réaliser des transferts de données vers les Etats-Unis.  En effet, le Comité estime qu’il conviendra d’analyser « au cas par cas » les circonstances du transfert ainsi que d’éventuelles mesures supplémentaires afin d’évaluer si la législation américaine ne compromet pas le niveau de protection garantit par les clauses – CCT ou BCR – et les mesures supplémentaires.

Existe-il des dérogations permettant de transférer des données aux Etats-Unis, en l’absence des garanties prévues par l’article 45 et 46 du RGPD ?

OUI, un certain nombre de dérogations à la réalisation de transferts de données en dehors de l’UE sont prévus par l’article 49 du RGPD. C’est le cas lorsque :

  • la personne a expressément consenti à ce transfert
  • le transfert est nécessaire à l’exécution d’un contrat et est occasionnel
  • le transfert est nécessaire pour des raisons d’intérêt public selon la législation de l’UE ou d’un Etat-membre.

Le CEPD a considéré que ces dérogations étaient toujours applicables en cas de transfert de données vers les Etats-Unis.

Le Comité complétera au fur et à mesure son analyse et mettra à jour ces recommandations en la matière.

Call Now Button