Transfert de données personnelles vers les Etats-Unis : l'invalidation du Privacy Shield

Actualité
INFOREG

La Cour de justice de l’Union européenne (CJUE) a récemment invalidé la décision d’adéquation "Privacy Shield" qui permettait de transférer librement des données personnelles aux Etats Unis. 

Désormais, les entreprises devront s’appuyer sur les autres outils juridique de transfert afin d’encadrer le transfert de données personnelles vers des pays tiers à l’Union européenne (UE). 

 

Maitriser ces outils devient alors un impératif et une obligation légale de l’entreprise transférant des données à l’étranger mais également un gage de protection des données et de sérieux pour ses clients.  

Qu’est-ce que le transfert de données personnelles ? 

La Commission nationale de l'informatique et des libertés définit le transfert de  données à caractère personnel comme : "toutes communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’UE".


Par conséquent, dès que l’on peut consulter et gérer des données depuis un territoire en dehors de l’UE, il s’agit bien d’un transfert de données personnelles.

Qu’est-ce que le traitement de données personnelles ? 

Le transfert de données à caractère personnel induit nécessairement un traitement de ces données personnelles collectées. 

 

La définition du Traitement est très large puisqu’elle vise, selon le Règlement général sur la protection des données (RGPD) "toutes opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction".

Quelles sont les règles applicables en matière de transfert de données personnelles depuis l’UE ?

Différentes hypothèses sont à prendre en considération : 
 

  1. Le pays vers lequel sont transférées les données personnelles est couvert par une décision d’adéquation adoptée par la Commission européenne. Autrement dit, le pays est reconnu comme assurant un niveau de protection des données suffisant et approprié au regard des exigences du RGPD. Les transferts de données personnelles sont donc libres.
  2. Le pays vers lequel sont transférées les données personnelles n’est pas couvert par une décision d’adéquation adoptée par la Commission européenne. Dans ce cas,  chaque pays va devoir mettre en place des outils juridiques spécifiques destinés à la protection des données transférées du territoire européen vers des Etats tiers.

Quels sont les outils de transfert de données personnelles vers des pays non couverts par une décision d’adéquation ? 

Les organismes souhaitant transférer des données vers des pays non couverts par une décision d’adéquation, peuvent recourir aux outils suivants aussi appelés "garanties appropriées"
 

  • les clauses contractuelles type (CCT) : ce sont des modèles de clauses contractuelles adoptées par la Commission européenne qui permettent d'encadrer les transferts de données personnelles hors de l'Union européenne ;
  • les règles internes d’entreprises contraignantes (BCR) : ce sont des règles élaborées par des groupes d’entreprises et soumises à l’approbation d’une autorité de contrôle compétente, leurs permettant d’encadrer juridiquement leurs transferts de données hors de l’Union européenne ;
  • un code de conduite ou un mécanisme de certification approuvé par une autorité de contrôle : ces mécanismes comportent l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées. 

En l’absence de telles garanties appropriées, le transfert peut être réalisé par dérogation à ces outils globaux d’encadrement, dans des situations particulières et des conditions spécifiques décrites à l’article 49 du RGPD.

Quelles sont les conséquences de l’invalidation du Privacy Shield sur les transferts  de données personnelles aux Etats-Unis ? 

La CJUE a estimé que le droit américain en matière d’accès aux données par les services de renseignement ne permet pas d’assurer un niveau de protection essentiellement équivalent à celui du RGPD.

 

En l’absence de décision d’adéquation, les entreprises européennes peuvent toujours transférer des données personnelles sur la base de CCT ou autre garantie appropriée.  

 

Cependant, en plus de ces outils, l’entreprise va devoir réaliser une analyse au cas par cas des circonstances entourant le transfert. Cette analyse doit permettre d’évaluer si en pratique la législation américaine permet de respecter à la fois  le niveau de protection requis par le droit de l’UE et les garanties fournies par les CTT ou autre garanties appropriées.


Si le niveau de protection des données personnelles exigé par la réglementation européenne et la garantie appropriée choisie ne peut pas être respecté par la législation américaine, les entreprises doivent prévoir des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu dans l’EEE.

 

De la même manière, les entreprises devront à nouveau s’assurer que la législation américaine ne compromet pas ces mesures supplémentaires couplées à la garantie appropriée choisir de manière à les priver d'effectivité.

 

Ce raisonnement vaut pour tout transfert de données personnelles vers un pays tiers pour lequel il n’existe pas de décision d’adéquation. 

Compte tenu des circonstances du transfert et malgré d'éventuelles mesures supplémentaires, s’il s’avère que le respect des garanties appropriées ne sera pas assuré, l’entreprise européenne devra mettre fin au transfert de données personnelles.

 

En dépit de cette conclusion, l’entreprise européenne peut décider de continuer à transférer des données personnelles. Dans ce cas elle devra notifier sa décision à l’autorité de contrôle compétente.

Document rédigé par les juristes du réseau EEN (Enterprise Europe Network)

Ce document a été rédigé par les juristes du réseau EEN pour apporter un soutien expert aux entreprises pour faire face à l'impact de la crise sanitaire liée au coronavirus.
 

Mis à jour le 13/11/2020
Le réseau EEN
Enterprise Europe Network

Depuis plus de 10 ans, le réseau Enterprise Europe Network aide les petites entreprises à tirer le meilleur parti du marché européen.

Société à l'étranger, quelles sont les fondamentaux en matière de trésorerie ?

Dans la situation actuelle de la crise sanitaire, les entreprises recherchent tout type de soutien financier possible afin de relancer leur activité économique. Lorsque plusieurs sociétés sont réunies au sein d’un groupe, la question des flux financiers se pose : est-ce que la société mère peut répondre aux besoins de financement de ses filiales (en France et à l’étranger) et vice-versa ? Dans certains cas, une telle aide est possible, dans d’autres elle représente un risque juridique.