11 novembre 2020
Données personnelles & transferts hors Union Européenne (vers les Etats-Unis). Recommandations du Comité Européen de la Protection des Données (CEPD) relatives aux mesures supplémentaires nécessaires aux transfert de données personnelles vers les pays hors UE n’offrant pas un niveau adéquat de protection des données (CEPD, session plénière, 11 novembre 2020)
Par un arrêt du 16 juillet 2020, la Cour de Justice de l’Union Européenne (« CJUE ») a invalidé l’accord dit « Privacy Shield » entre la Commission Européenne et la Federal Trade Commission américaine, qui permettait le transfert de données personnelles des citoyens européens vers les entreprises américaines ayant adhérer à cet accord. La législation des Etats-Unis, en effet, n’offre pas un niveau de protection des données personnelles adéquat au regard du droit européen, en sorte que les transferts de données personnelles vers ce pays ne sont possibles que si un niveau de protection satisfaisant est assuré par des mécanismes juridiques de substitution. Le Privacy Shield était l’un de ces mécanismes, mais n’est donc plus utilisable depuis la décision de la Cour de Justice du 16 juillet 2020.
Deux autres mécanismes permettent les transferts de données vers les Etats-Unis (et plus généralement les pays n’offrant pas un niveau de protection adéquat) : d’une part les « Binding Coporate Rules » (« BCR »), qui sont des règles volontaires adoptées au sein d’un même groupe de sociétés et visent à assurer, au sein de ce groupe seulement, un niveau de protection des données conforme aux exigences du droit européen. Grâce à ce mécanisme, les données peuvent circuler librement entre sociétés du groupe quelle que soit leur localisation géographique. Mais ce mécanisme ne permet pas les transferts de données hors du groupe et hors de l’Union Européenne.
Le troisième et dernier mécanisme permettant les transferts de données vers un pays n’offrant pas un niveau de protection adéquat consiste en des Clauses Contractuelles Types (« CCT »), dont la Commission Européenne a adopté deux modèles (transferts entre responsables de traitement et transferts entre responsable de traitement et sous-traitant). Dans son arrêt du 16 juillet 2020, la Cour de Justice a jugé que ces Clauses Contractuelles Types étaient valables, mais que, dans un pays comme les Etats-Unis, dont la législation permet aux services de renseignement de traiter de façon massive les données personnelles quelle que soit leur provenance sans garanties satisfaisantes pour les droits des personnes, elles n’étaient pas suffisantes.
Elle a donc énoncé que, en cas de transfert de données personnelles de citoyens européens vers les Etats-Unis fondé sur ces Clauses Contractuelles Types, il incombait au responsable du traitement de prendre les mesures complémentaires pertinentes, au cas par cas, pour assurer à ces données un niveau de protection adéquat au regard du droit européen.
Le Comité Européen de Protection des Données (« CEPD »), qui regroupe l’ensemble des autorités de contrôle européennes (la CNIL et ses homologues), prenant acte de cette nouvelle donne, a adopté le 11 novembre 2020 ses premières recommandations visant à aider les responsables de traitement à identifier et mettre en œuvre les mesures complémentaires nécessaires aux transferts de données qu’ils envisagent vers les Etats-Unis (ou d’autres pays n’offrant pas un niveau de protection adéquat), en complément des Clauses Contractuelles Types.
Ces recommandations proposent un processus par étapes pour vérifier si des mesures complémentaires sont nécessaires et, dans l’affirmative, identifier et mettre en œuvre celles qui sont pertinentes. Elles présentent des exemples (non exhaustifs) de mesures complémentaires ainsi que les conditions auxquelles elles sont efficaces. Le but du CEPD est, par ces recommandations, d’aider les responsables de traitements à respecter leurs obligations en matière de transfert de données personnelles hors de l’Union Européenne.