blog
Affaire Schrems II : une mise en conformité des transferts de données personnelles vers les Etats-Unis difficile
31 juillet 2020

Le 16 juillet 2020, la Cour de Justice de l’Union européenne a mis fin au régime dit « Privacy Shield », qui permettait jusque-là aux organismes d’assurer le transfert de données personnelles vers les Etats-Unis en conformité avec le  Règlement général sur la protection des données (ci-après le « RGPD »), dès lors que l’entité américaine réceptrice avait mis en œuvre la procédure de certification prévue par le dispositif.

En cause, des lois de surveillance américaines jugées particulièrement intrusives, qui habilitent les autorités publiques nationales à accéder à des données personnelles en provenance de l’Union européenne pour des raisons de sécurité nationale et ne prévoient aucun recours ni garanties au bénéfice des personnes concernées.

Dans le même temps, la CJUE a jugé valide la décision 2010/87/CE de la Commission européenne relative aux clauses contractuelles types (« CCT »), qui figurent parmi les autres mécanismes juridiques sur lesquels les organismes peuvent s’appuyer pour leurs transferts de données internationaux. Selon la Cour, en effet, le fait que ces clauses ne lient pas les autorités du pays tiers concernés, en raison de leur nature contractuelle, ne sauraient remettre en cause leur légitimité.

La Cour a cependant considéré qu’il incombait aux exportateurs et importateurs de données transférées en dehors de l’Union d’évaluer au cas par cas si le recours aux CCT était suffisant pour atteindre un niveau de protection adéquat au regard du RGPD, compte tenu des circonstances du transfert et des éventuelles mesures supplémentaires mises en place. Si, à l’issue d’une telle analyse, il est déterminé que le respect des garanties appropriées ne serait pas assuré, les organismes devront cesser leurs opérations de traitement ou notifier l’autorité compétente de leur volonté de les poursuivre.

Or, eu égard au degré de l’atteinte portée par les lois américaines précitées aux droits fondamentaux des personnes dont les données sont transférées, il sera a priori très difficile de satisfaire les critères de protection requis à travers la mise en place de CCT. La mise en place de règles d’entreprises contraignantes (« BCR ») ou de tout autre outil juridique d’encadrement des transferts prévu à l’article 46 du RGPD, qui implique d’appliquer le même degré d’exigence, ne devrait pas être plus aisée.

Les entreprises exportatrices de données pourront toujours recourir à l’article 49 du règlement, qui prévoit des cas dérogatoires dans lesquels les transferts vers des pays tiers sont autorisés, comme l’obtention du consentement des personnes concernées ou la nécessité de procéder à de tels transferts pour exécuter un contrat entre le responsable de traitement et la personne concernée. Reste à s’assurer cependant que les conditions énoncées dans cet article sont réunies.

Malgré la décision du juge européen, on constate que les entreprises n’ont pas pour autant modifié leurs pratiques, ce que n’a pas manqué de soulever l’association de Max Schrems, None of Your Business (NOYB), en déposant plainte fin août à l’encontre de 101 entreprises européennes, dont 6 françaises (Huffington Post, Leroy Merlin, Decathlon, Free….). Les sociétés Google et Facebook sont également visées par la plainte, pour avoir accepté de recevoir ces données en invoquant la mise en place de CCT.

Le Comité européen pour la Protection des données a publié un document destiné à fournir des éclaircissements sur les mesures à mettre en place pour permettre aux entreprises de se mettre en conformité. Ce document doit être complété à mesure que des orientations supplémentaires seront dégagées de l’examen du récent arrêt de la Cour.

Pour en savoir plus : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:62018CJ031 ;

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_fr.pdf

blog
Affaire Schrems II : une mise en conformité des transferts de données personnelles vers les Etats-Unis difficile
31 July 2020

Le 16 juillet 2020, la Cour de Justice de l’Union européenne a mis fin au régime dit « Privacy Shield », qui permettait jusque-là aux organismes d’assurer le transfert de données personnelles vers les Etats-Unis en conformité avec le  Règlement général sur la protection des données (ci-après le « RGPD »), dès lors que l’entité américaine réceptrice avait mis en œuvre la procédure de certification prévue par le dispositif.

En cause, des lois de surveillance américaines jugées particulièrement intrusives, qui habilitent les autorités publiques nationales à accéder à des données personnelles en provenance de l’Union européenne pour des raisons de sécurité nationale et ne prévoient aucun recours ni garanties au bénéfice des personnes concernées.

Dans le même temps, la CJUE a jugé valide la décision 2010/87/CE de la Commission européenne relative aux clauses contractuelles types (« CCT »), qui figurent parmi les autres mécanismes juridiques sur lesquels les organismes peuvent s’appuyer pour leurs transferts de données internationaux. Selon la Cour, en effet, le fait que ces clauses ne lient pas les autorités du pays tiers concernés, en raison de leur nature contractuelle, ne sauraient remettre en cause leur légitimité.

La Cour a cependant considéré qu’il incombait aux exportateurs et importateurs de données transférées en dehors de l’Union d’évaluer au cas par cas si le recours aux CCT était suffisant pour atteindre un niveau de protection adéquat au regard du RGPD, compte tenu des circonstances du transfert et des éventuelles mesures supplémentaires mises en place. Si, à l’issue d’une telle analyse, il est déterminé que le respect des garanties appropriées ne serait pas assuré, les organismes devront cesser leurs opérations de traitement ou notifier l’autorité compétente de leur volonté de les poursuivre.

Or, eu égard au degré de l’atteinte portée par les lois américaines précitées aux droits fondamentaux des personnes dont les données sont transférées, il sera a priori très difficile de satisfaire les critères de protection requis à travers la mise en place de CCT. La mise en place de règles d’entreprises contraignantes (« BCR ») ou de tout autre outil juridique d’encadrement des transferts prévu à l’article 46 du RGPD, qui implique d’appliquer le même degré d’exigence, ne devrait pas être plus aisée.

Les entreprises exportatrices de données pourront toujours recourir à l’article 49 du règlement, qui prévoit des cas dérogatoires dans lesquels les transferts vers des pays tiers sont autorisés, comme l’obtention du consentement des personnes concernées ou la nécessité de procéder à de tels transferts pour exécuter un contrat entre le responsable de traitement et la personne concernée. Reste à s’assurer cependant que les conditions énoncées dans cet article sont réunies.

Malgré la décision du juge européen, on constate que les entreprises n’ont pas pour autant modifié leurs pratiques, ce que n’a pas manqué de soulever l’association de Max Schrems, None of Your Business (NOYB), en déposant plainte fin août à l’encontre de 101 entreprises européennes, dont 6 françaises (Huffington Post, Leroy Merlin, Decathlon, Free….). Les sociétés Google et Facebook sont également visées par la plainte, pour avoir accepté de recevoir ces données en invoquant la mise en place de CCT.

Le Comité européen pour la Protection des données a publié un document destiné à fournir des éclaircissements sur les mesures à mettre en place pour permettre aux entreprises de se mettre en conformité. Ce document doit être complété à mesure que des orientations supplémentaires seront dégagées de l’examen du récent arrêt de la Cour.

Pour en savoir plus : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:62018CJ031 ;

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_fr.pdf