Suite à l’invalidation du mécanisme de Privacy Shield, voici quelques recommandations concernant les garanties à apporter aux transferts de données à caractère personnel à destination des Etats-Unis.
La décision relative à l’adéquation de la protection assurée par le Privacy Shield a été invalidée par la Cour de justice de l’Union européenne (CJUE), dans une décision du 16 juillet 2020 (affaire C-311/18) qui a fait l’objet d’un article sur notre site internet.
La CJUE a en effet considéré que les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises en droit de l’Union.
Les transferts vers les Etats-Unis ne peuvent donc plus être considérés comme conformes au RGPD sur la base du Privacy Shield.
La CJUE, si elle a confirmé la validité de la décision relative aux clauses contractuelles types, a précisé à leur égard qu’une autorité de contrôle telle que la CNIL doit suspendre un transfert fondé sur ces clauses, « lorsque cette autorité de contrôle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union […] ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci ».
Ainsi, les clauses contractuelles types demeurent une alternative incertaine au Privacy Shield, dans la mesure où elles ne présentent aucun caractère contraignant vis-à-vis des autorités américaines.
La CNIL a annoncé, au lendemain de cette décision, procéder à une analyse précise de la décision de la CJUE, en lien avec les autres autorités du CEPD, afin « d’en tirer les conséquences pour les transferts de données de l’Union européenne vers les Etats-Unis ». Le CEPD a, pour sa part, annoncé réfléchir à des mesures supplémentaires à mettre en œuvre par l’expéditeur des données, qui viendraient compléter les clauses contractuelles types.
Nous restons donc dans l’attente de leur position.
Dans l’intervalle, le cabinet souhaite souligner le fait qu’un transfert de données à caractère personnel vers les Etats-Unis présente un risque de non-conformité au RGPD substantiel, quel que soit le mécanisme de transfert auquel l’exportateur a recours, et recommande de ne pas procéder à un tel transfert lorsque cela est possible.
Si, néanmoins, un transfert de données vers les Etats-Unis est inévitable, le cabinet recommande de :
- conclure des clauses contractuelles types avec l’importateur de données, pour les transferts précédemment couverts par le Privacy Shield, mais également pour les futurs transferts « inévitables » ;
- dans la mesure où cela est possible, chiffrer ou pseudonymiser les données avant leur transfert, sans laisser à l’importateur la possibilité de les déchiffrer ou d’identifier la personne concernée. Cette option n’est, néanmoins, pas envisageable dans tous les cas de figure et pourra être refusée par l’importateur.
Ces actions nécessiteront également de mettre à jour les mentions d’information, le registre des traitements et les éventuelles analyses d’impact.
Un audit préalable des contrats pourra permettre d’identifier les transferts de données à caractère personnel à destination des Etats-Unis.
Lien vers la décision de la CJUE : Ici
