Invalidation du Privacy Shield : quid des transferts de données

Invalidation du Privacy Shield : quid des transferts de données

Le couperet est tombé le 16 juillet. La Cour de justice de l’UE invalide le mécanisme de transfert de données vers les Etats-Unis, le Privacy Shield. Les transferts sont-ils dès lors interdits ? Les autorités de protection planchent. Restent par ailleurs les Clauses Contractuelles Types, sous conditions cependant.

Après le Safe Harbor, la CJUE invalide donc le Privacy Shield, le mécanisme européen de transfert de données vers les Etats-Unis. Comme plusieurs années auparavant, les entreprises européennes se trouvent donc dans une situation « d’insécurité juridique » déclare Étienne Drouard, juriste spécialisé pour Hogan Lovells.

Pour les sociétés exploitant le Privacy Shield, les conséquences de cette décision sont majeures. Et celles-ci doivent donc trouver « très vite » une solution. L’alternative, ce sont les clauses contractuelles types (CCT).

Conclure des Clauses Contractuelles Types demande du temps

Cet autre mécanisme européen de transfert de données vers des pays tiers a été jugé valide par la Cour de Justice. Mais attention cependant. Leur mise en œuvre ne peut se faire en l’espace de quelques heures.

Depuis deux ans, l’UE « ne permet plus de signer les yeux fermés des clauses types » prévient Étienne Drouard  sur BFM Business. « On ne peut pas industrialiser des solutions contractuelles du jour au lendemain. »

Les entreprises européennes concernées doivent en effet négocier des modalités contractuelles avec le partenaire américain vers lequel elles transfèrent leurs données. Or, comme le souligne le juriste, « C’est à la charge de la société européenne de ne pouvoir exporter des données qu’avec un mécanisme qui est satisfaisant. Ce n’est donc pas les acteurs américains qui vont être lésés par l’invalidation. »

Par ailleurs, malgré la validation des clauses types par la justice, une incertitude juridique demeure. Le contrat ainsi conclu entre deux entreprises est susceptible d’être contesté devant une autorité de protection des données et donc remis en cause, en particulier pour des transferts vers les US.

Les CCT pas une solution juridique viable pour les transferts aux US

Ainsi, pour l’ONG noyb, à l’origine de l’invalidation du Privacy Shield, « Facebook et les entreprises similaires ne peuvent pas non plus utiliser » les clauses contractuelles types. La CJUE considère en effet ces transferts comme valides à la condition que le niveau de protection soit identique à celui de l’Europe.

Or, c’est justement en l’absence d’un niveau suffisant que les juges ont invalidé les transferts vers les Etats-Unis par le biais du Privacy Shield. Le recours aux clauses pourra alors être conditionné à la mise en œuvre de mesures de protection supplémentaires.

Lesquelles ? « L’EDPB examine de plus près en quoi pourraient consister ces mesures supplémentaires » répond l’organisme européen de protection de données, qui réunit notamment les différentes Cnil.

Dans un avis rendu le 17 juillet, l’EDPB insiste par ailleurs sur la nécessaire évaluation du niveau de protection à mener dans le cadre des CCT. Cette procédure « est principalement du ressort de l’exportateur et de l’importateur. »

Vers un probable moratoire des Cnils européennes

Les CCT ne constituent donc pas une protection juridique certaine ou une alternative pour toutes les entreprises. Dans bien des cas, elles peuvent néanmoins faire office de solution provisoire dans l’attente de l’adoption d’un mécanisme succédant au Privacy Shield.

Dans ce contexte incertain sur le plan juridique, les sociétés européennes attendent donc avec impatience la position des autorités de protection, dont la Cnil en France. Ces dernières pourraient opter pour un moratoire les prémunissant contre des sanctions. Un moratoire de trois 3 mois avait ainsi été validé suite à l’invalidation du Safe Harbor.

Aucune décision n’est encore officielle concernant le Privacy Shield cependant. La Cnil participe à un « travail commun » avec ses homologues. Celui-ci doit permettre « dans les meilleurs délais » de tirer les conséquences de l’arrêt de la CJUE pour les transferts de données vers les États-Unis.

A lire également sur MyData

Transferts de données : Safe Harbor et Privacy Shield même destin

Transferts de données : Safe Harbor et Privacy Shield même destin

Comme pour le Safe Harbor en 2015, la Cour de Justice de l’UE invalide le Privacy Shield encadrant les transferts de données vers les Etats-Unis. En cause une incompatibilité avec le RGPD et la possibilité pour les autorités américaines d’accéder aux données.

A propos de Christophe Auffray 349 Articles
De formation initiale en marketing Web et en économie, je me suis spécialisé par la suite dans la presse B2B consacrée à l'économie numérique et dispose dans ce secteur de 15 ans d'expérience. Spécialiste de la transformation numérique, de l'innovation et des nouveaux business models des entreprises, j'ai développé des compétences dans les domaines du marketing éditorial, de la stratégie éditoriale, de la production de contenus premium et la gestion de sites d'information et d'équipe dans l'univers des médias en ligne et du marketing des solutions innovantes.