Privacy Shield invalidé 2020 : ce que vous devez savoir et les SCC peuvent-ils apporter un répit ?
Publié: 2020-07-17
Le 16 juillet 2020, la Cour de justice de l'Union européenne (la « CJUE ») a rendu son arrêt historique dans l'affaire Schrems II (affaire C-311/18). Dans son arrêt, la CJUE a conclu que les clauses contractuelles types (les « CCP ») émises par la Commission européenne pour le transfert de données à caractère personnel à des sous-traitants établis en dehors de l'UE sont toujours valables, soulignant la nécessité d'un examen au cas par cas. . De manière inattendue, la Cour a invalidé le cadre du bouclier de protection des données UE-États-Unis (va à l'encontre de l'exigence de l'article 45, paragraphe 2, point a) du RGPD).
| Date | Événement |
| Juin 2013 | Divulgations de Snowden concernant le programme PRISM |
| Juin 2013 | Plainte de Schrems auprès du DPC irlandais concernant la sphère de sécurité en raison des divulgations de Snowden |
| juin 2014 | La Haute Cour irlandaise renvoie l'affaire Schrems à la CJUE |
| Octobre 2015 | La CJUE invalide la sphère de sécurité |
| Octobre–Décembre 2015 | Plainte de Schrems auprès du DPC irlandais concernant les clauses contractuelles types (CSC) de l'UE |
| juillet 2016 | Adoption du bouclier de protection des données UE-États-Unis |
| octobre 2017 | La Haute Cour irlandaise renvoie la plainte de Schrems à la CJUE |
| Mai 2018 | Entrée en vigueur du RGPD |
| juillet 2019 | Audience Schrems II devant la CJUE |
| Décembre 2019 | Avis de la CJUE AG dans Schrems II |
| 16 juillet 2020 | Arrêt de la CJUE dans Schrems II |
Comme le montre la chronologie, Schrems II a mis des années à se préparer et est un cas fascinant. À la suite de cette affaire, les entreprises américaines faisant des affaires en Europe ou traitant des données de clients européens devront soit négocier de nouveaux accords individuels de traitement des données, appelés clauses contractuelles types (SCC), avec l'UE, soit cesser de transférer les données des opérations européennes. aux États-Unis.
La décision a un impact sur
(a) plus de 5 000 entreprises aux États-Unis qui se sont auto-certifiées dans le cadre du mécanisme Privacy Shield, et
(b) un nombre indéfini d'entreprises en dehors des États-Unis qui se sont appuyées sur l'auto-certification du Bouclier de protection des données des destinataires pour se conformer aux lois strictes de l'UE en matière de protection des données.
Réaction des autorités de contrôle
À la suite de la décision EJC Schrems II, certaines autorités de contrôle ont exprimé leur point de vue sur la voie à suivre, en particulier en ce qui concerne le maintien de l'utilisation des clauses contractuelles types (SCC). Nous avons résumé ci-dessous les principaux messages et conclusions :
Hambourg
L' autorité de protection des données de Hambourg conclut :
Si l'invalidité du bouclier de protection des données est principalement due à l'escalade des activités de renseignement aux États-Unis, il en va de même pour les clauses contractuelles types. Les accords contractuels entre l'exportateur et l'importateur de données sont également inadaptés à la protection des personnes concernées contre l'accès de l'État.
Cependant, ils voient aussi que
outre les Binding Corporate Rules et les accords individuels, c'est surtout le SCC qui peut servir de base aux transferts vers des pays tiers. Dans le même temps, cependant, l'incertitude s'est accrue cette fois : la CJUE passe le ballon aux autorités de contrôle européennes.
Johannes Casper, officier de la Commission de la DPA de Hambourg déclare :
Après la décision de la CJCE d'aujourd'hui, la balle est à nouveau dans le camp des autorités de contrôle, qui seront désormais confrontées à la décision de remettre en cause de manière critique le transfert global de données via des clauses contractuelles types.
Commissaire fédéral
Dans le même temps, le commissaire fédéral à la protection des données et à la liberté d'information (BfDI) , le professeur Ulrich Kelber, associe l'arrêt d'aujourd'hui de la Cour européenne de justice (CJE) sur le transfert international de données à un renforcement des droits des personnes concernées :
La CJE précise que le trafic international de données est toujours possible. Cependant, les droits fondamentaux des citoyens européens doivent être respectés. Des mesures de protection spéciales doivent maintenant être prises pour l'échange de données avec les États-Unis. Les entreprises et les autorités ne peuvent plus transférer de données sur la base du Privacy Shield, que la CJCE a déclaré inefficace. Bien entendu, nous donnerons des conseils intensifs sur le changement
Rhénanie-Palatinat
Une approche très proactive a déjà été adoptée par la DPA de Rhénanie-Palatinat. Quelques heures seulement après la décision de la CJCE, un document FAQ sur la décision de la CJUE a été publié . En ce qui concerne ce que les exportateurs de données doivent désormais faire par rapport au SCC, ils concluent :
Les responsables du traitement doivent vérifier les lois applicables à l'importateur de données dans le pays tiers vers lequel ils ont l'intention de transférer les données et, le cas échéant, à ses autres partenaires contractuels dans cette relation d'affaires et si ces lois affectent les garanties fournies par les clauses contractuelles types. . Si nécessaire, les flux de données spécifiques doivent être analysés pour déterminer quelles lois du pays tiers sont applicables dans chaque cas. Ces obligations s'appliquent aux transferts de données vers tous les pays tiers, pas seulement vers les États-Unis.
La validité de la décision de la CSC est reconnue
Étant donné que la Cour a confirmé la validité de la décision CSC de 2010, les flux de données de l'UE vers le reste du monde sur la base des CSC peuvent se poursuivre sans interruption. Cependant, même pour les entreprises qui s'appuient sur les SCC pour exporter des données hors de l'EEE, il serait prudent de surveiller de près cet espace. Le commissaire européen à la justice, Didier Reynders, a fait une annonce le même jour que la décision, notant son intention de mettre à jour les SCC à la lumière de leur importance désormais accrue.
Invalidation du Privacy Shield sans période de transition
Étant donné que la Cour a également décidé d'évaluer le bouclier de protection des données et l'a jugé invalide, tous les flux de données reposant sur ce cadre deviendront illégaux.
Le Privacy Shield connaît désormais le même sort malheureux que le programme Safe Harbor en 2015. Semblable à la bousculade qui s'est produite après l'invalidation du programme Safe Harbor, nous pourrions voir les gouvernements américain et européen se rencontrer pour réparer les défauts mis en évidence par la décision de la CJUE. Mais, jusqu'à ce que ces défauts soient corrigés, toute entreprise qui s'appuie sur le bouclier de protection des données pour transférer correctement des données devrait passer à d'autres mesures qui ont été explicitement considérées comme des garanties appropriées, telles que les SCC, le consentement de l'utilisateur et les règles d'entreprise contraignantes (BCR).
Comme les autorités reconnaissent que les CSC fonctionnent toujours comme base, nous nous attendons à ce qu'elles accordent aux organisations un délai de grâce pour se mettre en conformité en ce qui concerne les transferts suite à l'arrêt. Une période de grâce de 6 mois a été autorisée après la chute de Safe Harbor en 2015. Compte tenu de l'impact plus large, il serait raisonnable de répéter cela maintenant et éventuellement de prolonger cette période.
Prochaines étapes pour les organisations
Les entreprises doivent se préparer dès maintenant à l'ère de l'après-bouclier de protection des données et mettre en place des règles d'entreprise contraignantes (BCR) et des clauses contractuelles types (SCC) pour leur propre protection des données.
- Bien que les CCT restent valables, les organisations qui s'y réfèrent actuellement devront déterminer si, compte tenu de la nature des données personnelles, des finalités et du contexte du traitement, et du pays de destination, il existe un "niveau de protection adéquat" pour les données personnelles comme l'exige la législation de l'UE. Lorsque ce n'est pas le cas, les organisations doivent envisager quelles mesures de protection supplémentaires peuvent être mises en œuvre pour s'assurer qu'il existe en fait un « niveau de protection adéquat ».
- Les organisations qui s'appuient actuellement sur le cadre du bouclier de protection des données UE-États-Unis devront identifier de toute urgence un mécanisme de transfert de données alternatif pour continuer les transferts de données personnelles vers les États-Unis. le transfert est nécessaire pour exécuter un contrat), et les SCC ou Binding Corporate Rules doivent également être considérés comme des mécanismes alternatifs.
En bref, les entreprises soumises au RGPD devraient considérer
(i) leurs flux de données vers les États-Unis,
(ii) le mécanisme juridique respectif pour ces transferts vers les États-Unis, et
(iii) si le bouclier de protection des données UE-États-Unis est le mécanisme de transfert actuel, mettre en place un mécanisme de transfert légitime pour ces activités.
Ce que Convert fera
- Méfiez-vous des conseils des autorités de contrôle, du comité européen de la protection des données et de la Commission européenne.
- Évaluez quelles données sont transférées en dehors de l'UE et sur quelle base en effectuant un exercice de cartographie des données. Dans cet exercice, nous recherchons :
- Transferts de données vers des organisations qui participent au Privacy Shield,
- Transferts de données qui s'appuient sur des clauses contractuelles types - notez tout transfert de données vers des importateurs américains qui s'appuient sur des CSC en particulier,
- Les transferts de données qui reposent sur des règles d'entreprise contraignantes et qui impliquent des transferts de données vers les États-Unis.
- Informez les utilisateurs actifs et d'essai en utilisant des messages intégrés à l'application des prochaines actions. En bref, pour nos clients dont les transferts de données UE étaient déjà couverts par des SCC, rien ne doit être fait. Pour ceux qui étaient auparavant couverts par le bouclier de protection des données, l'adoption des clauses contractuelles types (CSC) de l'UE est une voie à suivre nécessaire. Si vous êtes un client Convert cherchant à incorporer des SCC, votre héros de la réussite client Convert sera en contact avec vous pour commencer le processus d'intégration des clauses contractuelles standard dans nos accords actuels avec vous.
- Signer des accords de traitement de données (DPA) et/ou des clauses contractuelles types (SCC) mis à jour avec tous les sous-traitants ultérieurs.
- Contactez Privacy Shield pour recevoir des mises à jour sur la décision Schrems II.
- Mettez à jour notre avis de confidentialité pour inclure un lien vers les SCC pré-signés.
- Mettez à jour la page DPA pour refléter l'état actuel.
- Gardez un œil sur les autres mécanismes de transfert de données.
