16 Juillet 2020 : la Cour de justice de l’Union européenne a estimé que le Privacy Shield Union Européenne / Etats-Unis ne constituait plus une base juridique valable pour les transferts de données de l’UE vers les États-Unis.
Cela a laisssé immédiatement des milliers d’organisations qui envoient et reçoivent des données en violation de leurs obligations vis-à-vis du règlement général sur la protection des données de l’Union Européenne.
Qu’est-ce qu’était le Privacy Shield ?
Le ministère américain du commerce, avec la Commission européenne et le gouvernement suisse, avait créé les cadres de protection de la vie privée Union Européenne/Etats-Unis et Suisse/Etats-Unis pour fournir aux entreprises un mécanisme permettant de transférer des données personnelles de l’Union européenne vers les États-Unis d’une manière qui assure un niveau de protection auprès de la législation européenne sur la protection des données.
Qu’est-ce qui en jeu exactement dans cette affaire du Privacy Shield ?
En résumé, le Privacy Shield est invalidé pour trois raisons principales :
- Les règles de surveillance américaines sont disproportionnées
- Les programmes de surveillance américains ne font pas l’objet d’une surveillance adéquate
- Les citoyens de l’UE ne disposent pas de droits pouvant être invoqués devant les tribunaux contre les autorités américaines et n’ont donc pas droit à un recours effectif.
Par conséquent, pour que Privacy Shield soit à la hauteur, il faudrait:
- que les États-Unis modifient leur mode de surveillance
- que les pouvoirs et l’indépendance du médiateur de Privacy Shield soient considérablement accrus
Ce n’est pas une mince affaire et il est difficile de voir comment un résultat satisfaisant sera obtenu.
L’Union européenne ne voudra pas abaisser les protections de la vie privée de ses citoyens et les États-Unis ne voudront pas être perçus comme réduisant et compromettant leur sécurité nationale, d’autant plus que les élections américaines se profilent à l’horizon.
Les utilités principales du GDPR (source)
Les entreprises sont toujours confrontées à une certaine incertitude
Les fonctionnaires des gouvernements des États-Unis et de l’Union Européenne ont fourni des mises à jour générales et un engagement renouvelé en faveur d’un cadre « amélioré », mais ces orientations supplémentaires se contentent de demander aux entreprises de déterminer elles-mêmes comment satisfaire au mieux l’interprétation de la Cour des exigences en matière de transfert de données.
Le ministère américain du commerce a invité les participants à contacter la Commission européenne ou les autorités chargées de la protection des données pour toute question.
À son tour, le Conseil européen de la protection des données a publié une série de FAQ indiquant que l’utilisation du Privacy Shield ne répondra plus aux exigences de la GDPR en matière de transferts de données.
Les organisations doivent utiliser d’autres méthodes telles que des règles d’entreprise contraignantes et des clauses contractuelles types.
Les FAQ négligent le fait que la mise en place de tout mécanisme de transfert de données différent prendra beaucoup de temps et de ressources, ce qui laisse aux entreprises un vide en matière de conformité.
Pour rendre les choses plus confuses, certaines autorités de protection des données déclarent qu’il n’y a peut-être aucun moyen acceptable de transférer des données.
L’arrêt complet et immédiat des flux de données n’est pas une option
La bonne nouvelle c’est que, bien qu’aucun délai de grâce officiel n’ait été annoncé, il y aura probablement une période de transition.
En effet, les autorités de protection de la vie privée disposent de ressources extrêmement limitées et ne seront pas en mesure d’enquêter simultanément sur 5 500 participants du programme « Privacy Shield » ni sur les milliers d’autres organisations qui dépendent d’elles.
L’examen et la mise à jour de tous les contrats existants prendront du temps et nécessiteront des orientations supplémentaires.
Les actions prises par les organisations
De nombreuses organisations se demandent si elles ne devraient pas simplement réaffecter les ressources utilisées pour la mise en conformité avec Privacy Shield vers d’autres mécanismes de transfert.
L’incertitude économique récente oblige à prendre des décisions difficiles quant à l’investissement de l’argent et au temps des employés : quelle priorité faut-il donner au programme Privacy Shield ?
Cependant, quitter le programme Privacy Shield ou ignorer ses principes serait une erreur, en particulier pour les organisations qui ont déjà mis en place un programme de conformité de leurs produits et services.
Pourquoi les principes du Privacy Shield restent valables
Même si l’objectif premier n’est pas de satisfaire les exigences de GDPR en matière de transfert de données, les principes de Privacy Shield continueront à fournir un retour sur investissement pour plusieurs raisons :
- Bien que le Privacy Shield ne soit plus un mécanisme valable pour les transferts de données en provenance de l’UE, il s’agit toujours d’un engagement valable envers certaines exigences en matière de protection des données et vous devez continuer à respecter vos engagements.
- Si vous ne respectez pas les principes du Privacy Shield, la Federal Trade Commission des États-Unis pourrait être amenée à intervenir.
- La FTC a publié une déclaration indiquant qu’elle « attend des entreprises qu’elles continuent à respecter leurs obligations en cours ».
- Le Privacy Shield sert toujours de modèle pour le respect des obligations de la GDPR, notamment celles qui concernent la minimisation des données, leur conservation et les droits des personnes concernées.
- Certes les entreprises doivent établir d’autres méthodes de transfert, mais la récente décision ne modifie pas le reste de leurs obligations GDPR.
- Tous les transferts de données doivent désormais être analysés au cas par cas et fournir des garanties supplémentaires ou des mesures complémentaires qui démontrent un niveau de protection équivalent à celui du GDPR.
Un « Privacy Shield » de la vie privée peut revenir sous une nouvelle forme
Le 10 août 2020, les États-Unis et l’Union européenne ont annoncé qu’ils allaient collaborer pour « évaluer la possibilité de mettre en place un cadre amélioré de protection de la vie privée entre l’Union européenne et les États-Unis afin de se conformer » à l’arrêt de la Cour.
Tout nouvel accord nécessitera des modifications importantes des obligations du gouvernement américain, mais la décision de la Cour n’indique pas que des changements doivent être apportés aux obligations du secteur privé.
Quel que soit le mécanisme alternatif de transfert de données choisi, il n’y a pas de solution facile.
Cependant, alors que les organisations s’efforcent de combler les lacunes en matière de conformité causées par l’invalidation du bouclier de protection de la vie privée, elles doivent se rappeler qu’il est toujours utile de respecter les obligations.
La Cour a peut-être invalidé le Privacy Shield en tant que mécanisme de transfert de données, mais elle n’a pas annulé les nombreux autres principes qui sous-tendent le Privacy Shield.
Le maintien d’un programme de conformité bien construit en matière de protection des données n’est pas un coût irrécupérable, mais un programme qui continuera à fournir un retour sur investissement.
A lire aussi
Les conseils de la CNIL pour transférer des données hors de l’Union Européenne
Liste d’outils utilisés pour les attaques par force brute
La NSA et Prism en France
