Suite à la décision de la Cour de Justice de l’Union Européenne invalidant le Privacy Shield (accord permettant de reconnaitre une protection adéquate des données transférées aux États-Unis), quelles solutions se présentent pour les entreprises qui transfèrent des données aux États-Unis ?

Les conclusions du jugement

Il est important aujourd’hui de rappeler certaines des conséquences qui impacteront prochainement les entreprises  :

  • Le jugement n’interdit pas de transférer des données personnelles de l’UE aux États-Unis.
  • Il n’invalide pas les clauses contractuelles types (CCT) adoptées par la Commission Européenne.
  • Il rappelle que l’utilisation des CCT ne rend pas automatiquement licite le transfert de données personnelles vers les États-Unis mais qu’une appréciation au cas par cas des mesures de protection prises par les entreprises américaines s’impose en l’absence de décision d’adéquation.

Quelles conséquences pratiques pour les entreprises ?

Cette décision n’est donc pas sans conséquence pour les entreprises américaines comme européennes. En pratique ces dernières, avant de transférer des données personnelles vers les États-Unis, devront se reposer sur un autre mécanisme que le Privacy Shield (il n’est évidemment pas question de continuer à transférer des données sans mécanisme de protection adéquat, sous peine d’être sanctionné par l’autorité nationale de protection des données).

Cela implique notamment de : 

  • Réévaluer tous les contrats passés entre l’entreprise et ses partenaires américains et de faire la liste des transferts reposant sur le Privacy Shield.
  • Renégocier ces contrats en passant par un autre mécanisme de protection des données transférées.
  • Si les CCT sont choisies pour légitimer un transfert, elles ne permettent pas de le légitimer de facto : les entreprises européennes devront s’assurer que le partenaire américain présente bien toutes les garanties nécessaires à une protection adéquate, qui sont notamment listées dans le considérant 108 du RGPD.
  • La Cour incite les responsables de traitement à mettre en œuvre pour leurs transferts vers les États-Unis toute garantie supplémentaire à celles offertes par les CCT.

Conclusion 

La décision de la CJUE constitue un pas de plus pour construire et affirmer à l’échelle mondiale la protection des données personnelles selon les règles du RGPD. Néanmoins en pratique, elle aboutit à une insécurité juridique. Il s’agira en effet pour les entreprises européennes de s’assurer et de déclarer de bonne foi que leurs partenaires américains protègeront les données transférées des ingérences de la surveillance locale. Un exploit pour le moins délicat. En toute hypothèse une revue des contrats prévoyant un transfert de données personnelles vers les US est à prévoir !