Contexte
Par un arrêt rendu le 16 juillet 2020[1] par la Cour de Justice de l’Union Européenne (« CJUE ») dit « Schrems II », la CJUE constate que l’examen de la décision 2010/87[2] ne révèle aucun élément de nature à affecter sa validité (en maintenant donc la possibilité de transférer des données en dehors de l’UE via les clauses contractuelles types) mais déclare invalide la décision 2016/1250, relative à l’adéquation de la protection assurée par le bouclier de protection des UE /Etats-Unis « Privacy Shield ».
Le « Privacy Shield » est entré en vigueur le 1er août 2016, presque un an après l’invalidation du « Safe Harbor[3] », afin de permettre aux entreprises américaines de traiter les données à caractère personnel de leurs utilisateurs européens transférées via une entité européenne par le biais d’un mécanisme d’auto-certification. Ce mécanisme était par ailleurs reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel.
Par cet arrêt, la CJUE déclare invalide le Privacy Shield du fait de l’ampleur de l’atteinte portée aux droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers. La CJUE considère en effet que les « limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des Etats-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines » ne permettaient pas un tel transfert.
Maintien des clauses contractuelles types
Les clauses contractuelles types (« CCT ») sont des modèles de clauses contractuelles adoptées par la Commission européenne permettant d’encadrer les transferts de données personnelles hors de l’Union européenne.
Par conséquent au regard de cet arrêt, le recours aux CCT demeure un instrument valide bien qu’incertain.
En effet la CJUE estime qu’il appartient « au responsable du traitement ou au sous-traitant de vérifier, au cas par cas et, le cas échéant, en collaboration avec le destinataire du transfert, si le droit du pays tiers de destination assure une protection appropriée, au regard du droit de l’Union, des données à caractère personnel transférées sur le fondement de clauses types de protection des données, en fournissant, au besoin, des garanties supplémentaires à celles offertes par ces clauses ».
A défaut pour le responsable du traitement ou du sous-traitant établis dans l’Union de pouvoir prendre de telles mesures supplémentaires, la CJUE invite les autorités de contrôle des États membres à suspendre les transferts lorsqu’elles constatent que les garanties prévues par les exportateurs des données sont insuffisantes au regard des exigences du droit de l’Union européenne.
A ce titre, la Commission européenne a publié deux projets de décisions d’actualisation des CCT[4], à l’aune de la jurisprudence récente, relatifs (i) aux transferts de données vers des pays tiers à l’UE, et (ii) aux relations entre un responsable du traitement et un sous-traitant situés au sein de l’UE.
En parallèle, le comité européen de la protection des données (« CEPD ») a récemment publié des recommandations[5] concernant lesdites « mesures supplémentaires » devant être mises en place lors d’un transfert de données hors UE afin de permettre d’assurer un niveau de protection des données équivalent à celui de l’UE. Le CEPD fournit une liste non-exhaustive d’exemples tels que :
- Un chiffrement des données avant transfert ;
- Une pseudononymisation des données, ou
- Un partage des données à des sous-traitants distincts.
Alternatives aux CCT
Si le recours aux CCT reste incertain, les entreprises peuvent également :
- Conclure des clauses contractuelles « ad hoc[6] » offrant des mesures et des mécanismes de protection des données personnelles offrant des garanties solides lorsque l’adoption des CCT n’est pas une alternative viable. Ces clauses contractuelles ad hoc doivent néanmoins être autorisées par la CNIL après avis du CEPD ;
- Adopter des « binding corporate rules[7]» (« BCR ») lorsque cela est possible. Les BCR sont une politique de protection de données intra groupe pour les sociétés multinationales régissant le transfert de données personnelles hors de l’UE ;
- Anonymiser les données à caractère personnel de manière sûre et irréversible dans les cas où le traitement ne nécessite pas la fourniture de données permettant l’identification effective des personnes ;
- Délocaliser le traitement de données à caractère personnel en question dans un pays de l’Union européenne, lorsque cela est possible.
Enfin,
le 14 janvier 2021, le CEPD et le Contrôleur européen de la protection des
données ont rendu un avis[8] en reconnaissant que si le
projet des CCT de la Commission européenne offre aujourd’hui un meilleur niveau
de protection aux personnes concernées, certaines dispositions doivent être
améliorées ou clarifiées afin de garantir une parfaite conformité aux exigences
du RGPD.
[1] CJUE, 16 juillet 2020, Affaire C 311/18
[2] Décision de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers
[3] CJUE, 6 octobre 2015, Affaire C-362/14
[4] European Commission, Data protection – standard contractual clauses for transferring personal data to non-EU countries (implementing act)
[5] Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, 10 novembre 2020
[6] Article 46 du RGPD
[7] Article 47 du RGPD
[8] EDPB – EDPS Joint Opinion 2/2021 on the European Commission’s Implementing Decision on standard contractual clauses for the transfer of personal data to third countries
