Privacy Shield : la course contre la montre a commencé

Spread the love
  • Yum

Privacy Shield : la course contre la montre a commencé

Le Privacy Shield est mort, vives les clauses contractuelles types ? L’invalidation du Privacy Shield par la justice européenne dans le courant de l’été a laissé les entreprises face à un flou juridique qui inquiète les porte-paroles de l’industrie du numérique. Le Privacy Shield était le texte permettant d’encadrer les transferts de données entre les Etats-Unis et les pays de l’UE, la commission se portant garante de la légalité des transferts.

Le 16 juillet, la CJUE (Cour de justice de l’Union européenne) l’a invalidé, ce qui a mis de nombreuses entreprises dans l’embarras. Certes, la décision de la justice européenne maintient les clauses contractuelles types comme moyen alternatif permettant le transfert des données hors de l’UE, mais ce dispositif n’offre pas de garanties aussi solides.

publicité

Le Syntec s’inquiète

C’est ce qui inquiète le Syntec numérique, TECH IN France et l’Asic, qui cosignent un communiqué portant sur ces questions. Comme nous l’expliquions suite à la décision de la CJUE, le recours aux clauses contractuelles types implique un effort supplémentaire pour les entreprises, qui doivent évaluer elles-mêmes si le pays dans lequel elles souhaitent exporter des données personnelles propose une protection équivalente à celle garantie par l’UE.

« Cette remise en cause non anticipée des mécanismes existants impacte directement un grand nombre d’entreprises, tous secteurs et tailles confondus, ainsi que les administrations publiques, qui exportent leurs données en dehors de l’Union européenne », indiquent les auteurs du communiqué, qui mentionnent à la suite les plaintes déposées par des organisations de défense des consommateurs au cours des dernières semaines.

Les organisations demandent donc aux autorités compétentes de proposer « des mesures transitoires d’application immédiate, qui permettront de sécuriser les entreprises dans l’attente d’un cadre protecteur stabilisé ».

Outre cette mesure, destinée à répondre à l’urgence, les trois organisations demandent des recommandations sur la mise en œuvre des clauses contractuelles types émises par les autorités de protection des données à un niveau européen, afin de limiter les différences d’interprétations selon les pays. Ça tombe bien : c’est déjà l’un des axes de travail du CEPD (Contrôleur européen de la protection des données), l’organisation de concertation des différentes autorités de données européennes. Celui-ci indiquait au début du mois de septembre avoir mis en place un groupe de travail destiné à émettre « des recommandations pour aider les responsables du traitement et les sous-traitants dans leur tâche, consistant à déterminer et à mettre en œuvre des mesures supplémentaires appropriées pour garantir une protection adéquate lors du transfert de données vers des pays tiers ». Le CEPD indiquait néanmoins qu’il ne fallait pas s’attendre à une « solution universelle et rapide » du fait des nombreux cas de figure à prendre en compte.

Enfin, les dernières recommandations s’adressent cette fois à la Commission européenne. Les organisations demandent une « mise à jour des clauses contractuelles types, en prenant en compte la décision de la CJUE » dans les meilleurs délais, et de se prononcer « sur les risques ou, le cas échéant, le niveau d’adéquation des pays tiers », afin de faciliter la tâche des entreprises qui souhaitent continuer les transferts de données en dehors de l’UE.

Réaction en chaîne

Si les entreprises s’affolent, c’est que l’actualité est chargée. Suite à la décision de la CJUE, l’autorité irlandaise de protection des données (Data Protection Commissioner, DPC) a ainsi mis Facebook en demeure de cesser les transferts de données personnelles de citoyens européens à destination des Etats-Unis. Il lui était difficile de faire autrement : comme elle le reconnaissait dans son communiqué du 16 juillet suite à la décision de la CJUE, « il est clair que, dans la pratique, l’application du mécanisme de transfert des CCT aux transferts de données à caractère personnel vers les Etats-Unis est désormais discutable ». Facebook est parvenu à obtenir un gel temporaire de l’ordonnance, le temps que la justice irlandaise se penche à son tour sur la question. Mais l’heure tourne et Facebook pourrait bien ne pas être le seul à pâtir des effets de la décision du 16 juillet.

Les clauses contractuelles types sont des modèles de contrats passés entre deux entreprises afin d’encadrer juridiquement les transferts de données personnelles à l’extérieur d’un pays de l’UE. Celles-ci impliquent néanmoins que les deux entreprises s’assurent au préalable que les garanties de protection des données personnelles soient au moins équivalentes à celles proposées par le droit européen. La décision de la CJUE qui a invalidé le Privacy Shield implique que ces clauses contractuelles types ne peuvent être utilisées pour transférer des données vers les Etats-Unis, sauf si les entreprises mettent en place des mécanismes supplémentaires visant à assurer un niveau de protection suffisant.

Etant donné que le grief initial soulevé par la CJUE portait sur l’absence de recours face à la surveillance exercée par le gouvernement américain, on peut comprendre que les entreprises françaises ou américaines qui souhaitent exporter vers les Etats-Unis des données personnelles de citoyens européens se retrouvent aujourd’hui dans l’embarras. Elles demandent donc aux autorités compétentes de donner des directives claires sur le cadre juridique à mettre en œuvre pour continuer les transferts sans s’exposer à un risque juridique.

L’association noyb, fondée par Max Schrems et à l’origine des décisions de la CJUE, ne perd de son côté pas de temps : elle a déposé 101 plaintes à l’encontre d’entreprises américaines et européennes, dénonçant l’absence de base juridique pour les transferts effectués vers les Etats-Unis. Ces plaintes ont été déposées auprès de plusieurs autorités européennes de protection des données, et sont actuellement étudiées de près par un groupe de travail du CEPD.

Leave a Reply

Your email address will not be published. Required fields are marked *