
L’invalidation du Privacy Shield n’a pas mis fin aux transferts de données de Facebook entre l’Europe et les Etats-Unis. Mais selon la Cnil irlandaise, le réseau social ne peut pas non plus recourir aux Clauses Contractuelles Types.
Jusqu’en juillet dernier, 5000 entreprises s’appuyaient sur le mécanisme de Privacy Shield pour leurs transferts de données entre l’Europe et les Etats-Unis. La Cour de Justice de l’UE a cependant considéré que ce dispositif n’offrait pas un niveau de protection suffisant.
Si les Clauses Contractuelles Types demeurent, l’arrêt de la CUJE introduit cependant une fragilité juridique. Cette situation inquiète notamment Facebook, qui s’appuie sur ces clauses pour ses transferts vers les US.
Les Clauses contractuelles pas un refuge pour Facebook
Or, l’autorité de protection irlandaise, dont dépend Facebook, estime que ces transferts ne peuvent légalement s’effectuer dans ce cadre. La DPC suggère que « les CSC ne peuvent pas être utilisées en pratique pour les transferts de données entre l’UE et les États-Unis » officialise la firme.
Les conclusions du régulateur seront rendues dans les prochains mois. Or une interdiction « pourrait avoir un effet de grande portée sur les entreprises qui dépendent des CSC et sur les services en ligne sur lesquels beaucoup de personnes et d’entreprises comptent » souligne Facebook.
Nick Clegg, son directeur des affaires publiques, lance donc un appel en faveur de « règles claires et globales, étayées par un solide État de droit. » Ce cadre vise ainsi à « protéger à long terme les flux de données transatlantiques. »
Modernisation des CSC prévue par l’Europe
Conscient des risques juridiques, la Commission européenne prévoit donc de « moderniser » les clauses contractuelles types. Des propositions en ce sens seront faites d’ici la fin 2020, en collaboration avec les autorités de protection.
« Il est très important de dire qu’il n’est pas simplement possible d’utiliser les clauses contractuelles types sans aucun changement » reconnaissait récemment le commissaire à la Justice, Didier Reynders.
La question pour Facebook est donc de savoir si cette « modernisation » interviendra avant une interdiction de recourir aux CSC. Facebook a jusqu’à la fin septembre pour répondre à la plainte de l’Irlande. Une décision finale interviendra vers la fin 2020.
A lire également sur MyData
Transferts de données : Le remède au Privacy Shield se fera attendre
Invalidé en juillet par la justice européenne, le Privacy Shield, n’aura pas de successeur dans l’immédiat. L’Europe doit négocier un accord de transfert de données vers les US plus robuste.