Annulation du Privacy Shield par la CJUE ! Coup de tonnerre ou simple péripétie juridique sans conséquence pratique ? Comment appréhender cette décision ?

Annulation du Privacy Shield. Par son jugement du 16 juillet 2020, la Cour de justice de l’Union européenne juge que les outils de surveillance déployés aux Etats-Unis sont incompatibles avec la protection des données personnelles garantie aux Européens par le GDPR. Une décision qui pourrait chambouler le secteur…

Concrètement, la CJUE invalide la décision d’adéquation Privacy Shield. Ce règlement avait été  adopté en 2016 par la Commission européenne suite à l’invalidation du Safe Harbor. Pour rappel, celui-ci permettait le transfert de données entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données sans autre formalité.

Les contrats spécifiques restent d’actualité

Par contre, les juges ont donné leur feu vert à un autre mécanisme : les SCC (Standard Contractual Clauses), des contrats spécifiques qui peuvent continuer à être signés par les entreprises pour exporter des données personnelles hors de l’Union européenne… mais à condition que les lois du pays de destination soient compatibles avec la réglementation européenne ou que les garde-fous apportés soient suffisants. Ce qui paraît improbable en ce qui concerne les Etats-Unis, vu le réquisitoire cinglant de la CJUE.

Pratiquement, cela signifie que les données personnelles des Européens ne pourront plus être envoyées et traitées dans des serveurs situés sur le sol américain. Coup de tonnerre ou simple péripétie juridique sans conséquence pratique ? De toute évidence, avancent les juristes, les Etats-Unis vont devoir changer sérieusement leurs lois sur la surveillance si les entreprises américaines veulent continuer à jouer un rôle sur le marché européen…

Un bouleversement

Ceci dit, les échanges de données entre les deux rives de l’Atlantique ne vont pas subitement s’interrompre. La décision ne concerne que les données personnelles de citoyens européens. De plus, elle ne s’applique pas aux transferts «nécessaires» vers les Etats-Unis, comme l’envoi d’un e-mail ou la réservation d’un hôtel aux Etats-Unis.

Mais pour tout le reste, la décision des juges européens est un bouleversement. Elle va mettre dans l’embarras les géants du numérique, incertains de pouvoir continuer à utiliser les SCC. Mais aussi quantité de petites et moyennes entreprises, qui se reposaient sur le Privacy Shield. Selon la présidente de la Business Software Alliance, c’est un défi pour plus de 5.300 entreprises, dont 70 % de PME, à travers une variété de secteurs, à un moment où la faculté d’envoyer des données à l’étranger est cruciale pour la reprise économique suite au COVID-19…

Se rabattre sur les clauses types

Les entreprises sont face à un dilemme. Soit elles rapatrient sur le sol européen tous les traitements de données personnelles qui rentrent dans le champ de la décision, mais c’est un chantier technique et financier colossal. Soit elles prennent le risque de se mettre en infraction avec le GDPR. Et les amendes prévues à ce titre sont dissuasives…

La portée de cette décision est limitée puisque le juge européen a confirmé par ailleurs la validité d’une autre décision de la Commission autorisant les transferts de données vers des pays à protection moindre que l’UE, sous réserve de l’utilisation de clauses types. Ces clauses types sont notamment utilisées par Facebook, qui était la cible principale de l’action qui a mené à l’annulation d’aujourd’hui.

Trois questions à régler, rapidement

Pour certains juristes, la réaction à avoir est d’instaurer immédiatement des clauses types dans les contrats. On peut don imaginer que tous les responsables de traitement qui transfèrent ou stockent des données aux Etats-Unis, notamment en ayant recours à des services cloud, doivent donc précéder immédiatement à une analyse de leurs contrats.

Trois questions doivent être successivement soulevées. Un : où sont les données stockées ? Deux : Par où transitent les données. Trois, enfin : les clauses contractuelles types ou les clauses spécifiques rendues nécessaires par une situation particulière sont-elles bien présentes ? Il s’agit donc de revenir aux dispositions générales concernant les pays non-européens, l’adhésion au Privacy Schield ne suffisant plus au respect du GDPR ou aux dérogations de l’Article 49.

Bien entendu, rien n’exclut, aujourd’hui, qu’un nouvel accord inter-gouvernemental davantage contraignant ne soit à nouveau négocié… même si le contexte politique actuel n’y est guère favorable.

Lien vers l’arrêt CJUE 16 juillet 2020, C-311/18, Data Protection Commissioner contre Facebook Ireland Ltd, Maximillian Schrems : http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=9849510