Invalidation du Privacy shield : les conséquences pour les organismes souhaitant transférer des données personnelles hors de l’UE

Suivant le principe de responsabilité, ce sont en premier lieu les organismes souhaitant procéder à des transferts de données hors de l’Union européenne. Comme la CJUE l’a rappelé dans son arrêt, le RGPD impose aux exportateurs de données d’évaluer les conditions encadrant les transferts et de mettre en place des mesures adaptées pour garantir que ces données font l’objet d’une protection substantiellement équivalente à celle garantie dans l’Union européenne. Les responsables de traitement comme les sous-traitants transférant des données sont comptables de ces exigences.

Les organismes qui procèdent à des transferts de données relevant de la législation états-unienne en matière de surveillance sont en pratique les premiers concernés par cet arrêt. 

Les autorités de contrôle comme la CNIL peuvent fournir des informations utiles sur leur site internet mais ne peuvent pas fournir de réponses individualisées aux demandes adressées par des organismes souhaitant transférer des données. Sur le site de la CNIL, de nombreuses informations sont d’ores et déjà disponibles et seront progressivement complétées, pour accompagner au mieux les organismes dans leur mise en conformité et fournir des réponses concrètes aux problèmes auxquels ils sont confrontés suite à l’arrêt de la Cour.

Enfin, la Commission européenne et les gouvernements concernés devront tirer les conséquences de cette décision pour encadrer de manière appropriée les transferts de données entre Union européenne et États-Unis et, plus généralement, tout Etats tiers. Pour les transferts vers les Etats-Unis, plusieurs voies sont possibles : un accord international, une autre solution négociée, un changement de législation états-unienne qui permettrait aux autorités européennes d’adopter une nouvelle décision d’adéquation facilitant les transferts de données.

Il est tout d’abord conseillé aux responsables de traitement et sous-traitants d’identifier l’ensemble des transferts de données personnelles hors de l’Union européenne auxquels ils procèdent, et notamment à destination des Etats-Unis d’Amérique. Il est ensuite recommandé de procéder à une évaluation rigoureuse de la légalité de chacun de ces transferts, compte tenu notamment de la décision de la Cour de justice de l’Union européenne. Les organismes concernés devraient enfin définir un plan d’action pour permettre, si nécessaire, leur mise en conformité avec le cadre juridique applicable en matière de transferts de données.

La CNIL propose ici une méthode pour identifier précisément ces transferts, par le biais d’un recensement technique et juridique, et pour mettre en œuvre un plan d’action adapté à votre organisation. Cette méthode complète et précise, d’un point de vue opérationnel, les principales recommandations du CEPD en vue d’assurer la légalité des transferts de données hors de l’Union européenne.

Dans le cadre de ces actions de mise en conformité, deux étapes sont essentielles :

• l’évaluation de la législation du pays tiers vers lequel les données sont transférées ;
• si nécessaire, la mise en œuvre de mesures supplémentaires pour assurer un niveau de protection des données suffisant.

Conformément au principe de responsabilité, c’est l’organisme procédant au transfert de données qui doit évaluer si les données transférées dans le pays tiers bénéficieront d’un niveau de protection suffisant. Ce n’est ni aux juridictions ni aux autorités de contrôle de réaliser ces évaluations pour tous les pays tiers vers lesquels des données personnelles peuvent être transférées, même si elles délivrent des conseils pour aider, le plus possible, les organismes qui peuvent être pris en compte par les organismes transférant des données.

La CNIL fournit d’ailleurs des outils pour faciliter cette évaluation. En outre, l’exportateur de données personnelles peut solliciter le destinataire de ces transferts pour vérifier si le droit du pays tiers de destination assure une protection appropriée des données transférées.

Cette évaluation doit intervenir dès lors qu’un transfert de données est envisagé vers un pays tiers, sauf si ce pays tiers bénéficie d’une décision d’adéquation couvrant les transferts en cause : dans ce cas, il est inutile de procéder à d’autres vérifications et les transferts de données à destination de cet État peuvent intervenir librement. Dans tous les autres cas, il convient de procéder à une telle évaluation préalablement à tout transfert de données : le recours à des outils d’encadrement des transferts (BCR, clauses contractuelles, etc.) ne dispense pas de cette analyse.

L’évaluation du niveau de protection dont bénéficieront les données transférées doit porter sur la ou les législations spécifiques applicables aux transferts en cause, c’est-à-dire les législations applicables dans le pays des destinataires de ces transferts. Dans tous les cas de figure, elle doit avoir pour objet de déterminer si les garanties contenues dans l’outil d’encadrement du transfert (CCT, BCR, etc.) peuvent être respectées dans la pratique ou si le cadre juridique de destination du transfert a pour effet de diminuer ou d’écarter l’application de ces garanties.

La législation applicable en matière de renseignement et d’accès des autorités publiques compétentes doit faire l’objet d’un examen particulier, afin de déterminer si elle s’oppose à l’application des garanties prévues dans l’outil de transfert. Il peut également être nécessaire d’examiner d’autres législations sectorielles applicables aux spécificités de chaque transfert envisagé, par exemple le cadre juridique relatif aux données de santé, aux données financières, aux données relatives aux ressources humaines, etc.  

Dans le cas où la législation du pays tiers aboutit à écarter entièrement ou partiellement les garanties qui figurent dans l’outil de transfert, des mesures supplémentaires doivent être mises en place.

Pour rappel, l’évaluation de la législation du pays tiers n’est pas nécessaire lorsque celui-ci bénéficie d’une décision d’adéquation de la Commission européenne : si les transferts envisagés sont couverts par cette décision, les données personnelles peuvent être transférées librement vers le pays tiers de destination.

Pour les autres pays tiers à destination desquels des transferts de données sont envisagés, l’évaluation de la législation applicable doit être faite au cas par cas et en fonction de la nature des transferts concernés. Les organismes souhaitant réaliser de tels transferts de données peuvent recourir à deux outils principaux :

• les décisions de la CJUE ou la Cour européenne des droits de l’homme, qui ont pu évaluer la conformité de certaines législations aux standards européens en matière de protection des données.

Par exemple, la CJUE a déjà analysé la législation des États-Unis d’Amérique en matière d’accès, par les services de renseignement, aux données des fournisseurs de services Internet et entreprises de télécommunications et en a conclu que les atteintes portées à la vie privée des personnes dont les données transitent par ou sont transférées à destination de ces organismes sont disproportionnées au regard des exigences européennes. Dans un tel cas, les responsables de traitement et sous-traitants souhaitant transférer des données n’ont pas besoin de procéder à cette évaluation : les transferts soumis à une telle législation doivent être encadrés par des mesures supplémentaires à celles qui figurent dans l’outil de transfert auquel il est recouru. 

• les recommandations des CNIL européennes, qui ont par exemple détaillé les garanties essentielles qui doivent être trouvées, en matière de surveillance, dans le pays tiers lors de l’évaluation du niveau de protection des données.

Quatre garanties essentielles doivent ainsi être assurées par la législation du pays tiers pour déterminer si des mesures de surveillance autorisant l’accès d’autorités publiques à des données personnelles peuvent être considérées comme conformes aux standards européens : l’accès et l’utilisation des données par ces autorités doivent reposer sur des règles claires, précises et accessibles ; la nécessité et la proportionnalité de ces traitements doivent être démontrées ; un mécanisme de surveillance indépendant doit être mis en place ; les personnes concernées doivent disposer de voies de recours effectives. Si la réglementation du pays tiers concerné ne satisfait pas à ces exigences, elle n’offre pas un niveau de protection suffisant et des mesures supplémentaires doivent donc être mises en place afin d’assurer le respect des garanties qui figurent dans l’outil de transfert auquel il est envisagé de recourir.

Ces mesures doivent permettre d’assurer aux données faisant l’objet d’un transfert un niveau de protection essentiellement équivalent à celui de l’Union européenne. Trois types de mesures peuvent cumulativement être mises en place afin d’assurer la bonne application des garanties prévues dans l’outil d’encadrement des transferts :

• des mesures techniques, en particulier les mesures de chiffrement ou de pseudonymisation des données ;
• des mesures organisationnelles, par exemple pour garantir que le destinataire du transfert ne stockera pas les données reçues auprès de ses filiales si elles se trouvent dans des pays tiers qui ont des législations non conformes aux exigences européennes en matière de surveillance par exemple ;
• des mesures juridiques, par exemple une clarification dans les engagements contractuels encadrant le transfert de la définition d’une notion particulière si elle n’est pas entendue de la même manière dans les droits de l’exportateur et de l’importateur, ou encore l’imposition contractuelle de mesures techniques ou organisationnelles.

Les CNIL européennes ont détaillé l'ensemble des mesures supplémentaires susceptibles d’être mises en œuvre pour encadrer les transferts de données à destination d’un Etat n’assurant pas un niveau de protection suffisant. Ces recommandations seront très prochainement mises à jour, afin d’aider au mieux les exportateurs de données à assurer la conformité des transferts de données auxquels ils procèdent.