La Cour de justice de l’Union européenne (CJUE) a récemment invalidé le Privacy Shield qui assurait les transferts de données entre l’UE et les États-Unis. Et pour cause, ce régime de transfert n’offre pas des garanties de sécurité suffisantes au regard du RGPD. Cette nouvelle disposition affecte considérablement le transfert des données personnelles de l’UE vers les USA.
Dans ce contexte de fin du Privacy Shield, est-il possible de transférer des données personnelles vers les États-Unis en toute légalité ? Quelles sont les recommandations de la CNIL ? Faisons le point à travers cet article.
Ce qu’implique l’invalidation du Privacy Shield
Conformément à l’article 46 du règlement général sur la protection des données (RGPD), le transfert des données à caractère personnel de l’UE vers un pays tiers ne peut avoir lieu que si ce dernier assure un niveau de protection adéquat. C’est en vue d’assurer le respect de cette disposition que la cour de justice de l’Union européenne avait adopté le Privacy Shield. Instauré pour remplacer le Safe Harbor invalidé en 2015, le Privacy Shield ou « Bouclier de protection des données » avait pour vocation de garantir un niveau de protection adéquat aux données transférées entre l’UE et les USA. Ainsi, les entreprises certifiées conformes au Privacy Shield étaient habilitées à transférer les données personnelles protégées par le RGPD vers les États-Unis en toute l’égalité.
Cependant, suite à diverses évaluations, la CJUE a invalidé le Privacy Shield dans un arrêt publié le 16 juillet 2020. Cet arrêt dénommé Schrems II reproche au Privacy Shield de permettre l’accès aux données personnelles aux autorités américaines, notamment avec l’article 702 du Foreign Intelligence Surveillance Act. Cette réglementation permet aux organismes de surveillance tels que le FBI ou la NSA d’accéder à toutes les données traitées par une société américaine, sans recours juridictionnel effectif pour les personnes concernées. Pour éviter l’atteinte portée aux droits fondamentaux des personnes dont les données sont transférées, le Schrems II retire la validité du Privacy Shield, faisant revenir les autorités américaines et européennes sur la table des négociations. Tous les transferts de données basés sur ce dispositif s’exposent donc à une non-conformité au RGPD.
Arrêt du Privacy Shield : que recommandent les « CNIL européennes » et la Commission européenne ?
La décision de la CJUE d’invalider le Privacy Sield a immédiatement plongé un grand nombre d’organismes dans une réelle incertitude concernant le transfert des données à caractère personnel d’un pays de l’UE vers les États-Unis. Pourtant, l’invalidation du « Bouclier de protection des données » n’empêche pas toutes les transmissions de données numériques entre les pays de l’UE et les USA. Il existe en effet plusieurs méthodes et protocoles de transfert que vous pouvez utiliser si vous devez transférer les données de votre entreprise située dans l’UE vers une filiale aux États-Unis. Pour ce faire, le groupe des « CNIL européennes » et la Commission européenne ont publié deux documents qui doivent vous conduire dans le choix des services cloud que vous pouvez utiliser :
- Transfert de données sur la base des CCT ;
- Transfert de données sur la base des règles d’entreprise contraignantes (BCR) ;
- Transfert de données sur la base d’une dérogation prévue par l’article 49 du RGPD.
Les CCT pour transférer des données vers les USA
Si la décision de la CJUE rend illégaux les transferts de données basés sur le Privacy Shield, il est toutefois possible de transférer vos données personnelles vers les USA sur la base des CCT (clauses contractuelles types). Pour utiliser cette méthode, vous devez vous assurer que la législation américaine ne compromet pas le niveau de protection adéquat que les contrats garantissent. Pour ce faire, le groupe des « CNIL européennes » et la Commission européenne recommandent d’évaluer les clauses et les circonstances des transferts au cas par cas. Si vous constatez que le niveau de protection garanti n’est pas suffisant, vous êtes tenu de suspendre ou d’arrêter le transfert. Cependant, si vous décidez de continuer le transfert malgré la défaillance de protection, vous devez informer votre autorité de contrôle compétente.
Le transfert de données via un fournisseur US sur la base des BCR
Vous transférez vos données via un fournisseur US en utilisant les règles d’entreprise contraignantes (BCR) ? Sachez que le jugement de la CJUE s’applique également dans ce contexte. Toutefois, il est possible de continuer à effectuer vos transferts de données en suivant les recommandations des autorités administratives. Celles-ci vous invitent à vérifier si les conditions prévues par le contrat de transfert n’empiètent pas sur le niveau de protection requis par le RGPD. Si les clauses contractuelles ne garantissent pas une protection optimale des données, vous devez suspendre ou arrêter le transfert. Dans le cas contraire, vous pouvez continuer à effectuer vos transferts en toute légalité.
Transférer les données sur la base d’une dérogation prévue par l’article 49 du RGPD
En plus des transferts effectués sur la base des CCT et des BCR, la CJUE a également validé les clauses contractuelles permettant les transferts de données initiés sur la base des dérogations prévues par l’article 49 du règlement général sur la protection des données. Toutefois, faites attention ! Le recours à cette solution est permis uniquement lorsque les dispositions prévues par cet article s’appliquent à votre situation.
NetExplorer : l’hébergement des données confidentielles en toute sécurité
Vous êtes un dirigeant d’entreprise cherchant un moyen simple et efficace pour mettre en sécurité vos données confidentielles ? NetExplorer vous propose des solutions cloud conformes aux exigences du RGPD. En tant que fournisseur français de service cloud, nous vous permettons de stocker tous types de fichiers sans aucune limite de taille ou de format, afin d’accéder à vos données où que vous soyez. En optant pour une solution cloud de NetExplorer, les données confidentielles traitées par votre entreprise échappent au Foreign Intelligence Surveillance Act des États-Unis. C’est un moyen efficace d’héberger vos données en France et de bénéficier d’un accès exclusif et d’une traçabilité maximale des données échangées.
En résumé, l’invalidation du Privacy Shield remet en cause la légalité des transferts de données vers les États-Unis via un fournisseur US. Toutefois, il existe plusieurs manières d’héberger vos données tout en respectant les dispositions fixées par le RGPD. Par exemple, vous pouvez choisir de transférer vos données sur la base des CCT ou des BCR. Il est également possible d’effectuer vos transferts de données en utilisant une dérogation prévue par l’article 49 du RGPD. Cependant, ces méthodes s’appliquent à des situations bien précises.
Le plus efficace est de trouver un fournisseur compétent avec un hébergement basé en France pour assurer une protection maximale de vos données. NetExplorer vous permet d’héberger vos données de manière sécurisée sur le cloud et de respecter les normes
