La décision Privacy Shield introduit de nouveaux défis pour les transferts de données personnelles vers les États-Unis (et ailleurs)

La législation européenne et britannique sur la protection des données contient des restrictions de longue date concernant le transfert de données personnelles vers des pays tiers en dehors de l’Espace économique européen (EEE) où le pays dans lequel se trouve le destinataire présente, aux yeux de la Commission européenne, des protections inadéquates pour ces données personnelles.

Cette liste de pays bénéficiant d’une « décision d’adéquation » comprend actuellement Andorre, l’Argentine, Guernesey, l’île de Man, Israël, Jersey, la Nouvelle-Zélande, la Suisse et l’Uruguay, avec des conclusions partielles pour le Japon et le Canada.

Des processus distincts ont été mis en place pour permettre les transferts vers les États-Unis. Ceux-ci ont commencé avec le premier « Safe Harbour », qui a été annulé par la Cour de justice de l’Union européenne (CJUE) dans l’affaire Schrems I en octobre 2015 suite à un renvoi de la Haute Cour d’Irlande faisant suite à une plainte d’un militant de la protection de la vie privée concernant l’utilisation des données personnelles par Facebook. Après une brève période d’excitation/panique dans la communauté de la protection des données, juillet 2016 a vu la mise en place d’un processus de remplacement, « Privacy Shield ». Quatre ans plus tard, en juillet 2020, suite à un autre renvoi de la Haute Cour irlandaise du même militant de la protection de la vie privée, la CJUE a annulé Privacy Shield dans l’affaire Schrems II, annulant à nouveau un processus distinct permettant le transfert de données vers les États-Unis et laissant les transferts effectués selon ce processus dans l’incertitude.

Suite à la décision Schrems II, qui sera suivie d’un jugement du tribunal irlandais, l’avis du Bureau du Commissaire à l’information du Royaume-Uni est que Privacy Shield n’est plus un moyen valide de transférer des données personnelles en dehors de l’EEE, et que Privacy Shield ne devrait pas être utilisé pour légitimer les transferts de données personnelles vers les États-Unis (en particulier les nouveaux transferts).

Bien que « Privacy Shield » ait été annulé par la décision de juillet 2020, il y avait également une préoccupation que les « Clauses contractuelles types » (CCT) qui, si elles sont utilisées, permettent également le transfert vers des pays non-EEE sans décision d’adéquation (y compris les États-Unis), feraient également l’objet d’un examen par la CJUE. Bien que la cour ait examiné les CCT, celles-ci n’ont pas été annulées, la cour estimant que l’utilisation des CCT ne donne pas automatiquement une légitimité au transfert et que la nécessité de mesures supplémentaires devra être considérée au cas par cas.

Bien que le jugement indique que les CCT restent un mécanisme valide, il ajoute une condition pour le responsable du traitement exportateur d’établir, à sa propre satisfaction, que les lois régissant le destinataire importateur ne vont pas compromettre les protections autrement garanties par les CCT (essentiellement équivalentes). Il reste à voir si exiger des responsables du traitement qu’ils évaluent les lois de chaque pays dans lequel les destinataires peuvent être basés pour permettre ce type d’évaluations au cas par cas est réalisable (ou équitable, particulièrement pour les exportateurs plus petits). Cela introduit la perspective d’un besoin d’Évaluations d’impact des transferts à ajouter à la liste (apparemment) croissante de documentation pour satisfaire les obligations de tenue de registres et de responsabilité.

L’avis de l’ICO est que pour l’instant, ceux qui exportent des données personnelles devraient faire le point sur les transferts internationaux qu’ils effectuent et réagir rapidement lorsque des orientations et conseils deviennent disponibles. Le Comité européen de la protection des données et l’ICO se sont tous deux engagés à produire des orientations supplémentaires, ce sera donc un sujet continu pour l’avenir prévisible.

Sur le sujet des questions continues, les problèmes concernant le transfert international de données personnelles ont un angle Brexit. Suite à la période de transition, le Royaume-Uni deviendra un pays tiers aux fins du transfert de données personnelles hors de l’EEE. Sans une décision d’adéquation de la Commission, ou la négociation et l’approbation d’une forme d’arrangements spéciaux, le Royaume-Uni sera dans la même position que tous les autres pays tiers sans décision d’adéquation. Sans quelque chose en place, cela fait peser un risque sur le responsable du transfert pour tous les transferts de données personnelles de l’EEE vers le Royaume-Uni après la période de transition, qu’ils soient internes au sein d’une organisation ou vers une entité externe. Bien que les CCT puissent encore être utilisées pour gérer ce risque, des considérations plus approfondies, comme discuté ci-dessus, seront nécessaires pour s’assurer que leur utilisation est valide. Compte tenu de cela, être conscient des transferts de données de votre organisation de l’EEE vers le Royaume-Uni devrait être une priorité et des préparations devraient être faites pour assurer une transition en douceur vers les transferts entrants post-Brexit de données personnelles.

Cet article a été préparé par James Talbot, Avocat senior en PI chez HGF. Si vous souhaitez des conseils supplémentaires sur ce sujet ou toute autre question, veuillez contacter James. Alternativement, vous pouvez contacter votre représentant HGF habituel ou visiter notre page Contact pour entrer en contact avec votre bureau HGF le plus proche.