rgpd-la-fin-d-une-idylle-entre-vous-et-vos-prestataires-de-services-americains

Article

RGPD

La fin d’une idylle entre vous et vos prestataires de services américains!

Actualités, novembre 2020

Depuis l’entrée en vigueur du RGPD en mai 2018, une entreprise européenne n’est plus autorisée à transférer des données à caractère personnel vers une entreprise émanant d’un pays non lié par le RGPD. Il s’agit principalement de pays situés en dehors de l’Union Européenne (‘UE’).

Une seule condition permet de déroger à ce principe: la mise en place, par les parties, de certaines garanties appropriées préalablement au transfert de données. Jusqu’il y a peu, l’une des garanties les plus populaires permettant le transfert de données à caractère personnel vers les Etats-Unis depuis l’UE était le ‘Privacy Shield’. Grâce à ce ‘bouclier de protection des données’, une entreprise de l’UE était autorisée à transférer des données à caractère personnel vers une entreprise américaine qui y avait officiellement adhéré auprès du ministère américain du commerce. Cependant, la validité de cette garantie était contestée depuis un certain temps. Récemment, dans son arrêt Schrems II, la Cour de Justice de l’Union Européenne (‘CJUE’) a définitivement invalidé ce ‘Privacy Shield’. Mais quelles conséquences cette invalidité implique-t-elle vraiment?

La décision d’invalider le Privacy Shield entraîne l’interdiction, pour les entreprises américaines qui y avaient adhéré, de collecter et traiter les données à caractère personnel provenant de l’UE. Ceci constitue un vrai coup dur pour les géants d’Internet et/ou les grands fournisseurs de services tels que Facebook, Amazon et Googles qui se basaient sur cette garantie pour justifier leurs transferts de données à caractère personnel depuis quelques années. Cela ne signifie toutefois pas que ces opérateurs doivent immédiatement cesser tous leurs services auprès des membres de l’UE: à côté du Privacy Shield, il existe un certain nombre d’autres garanties appropriées afin de rendre le transfert international de données à caractère personnel conforme au RGPD.

Les ‘clauses contractuelles types’ constituent une première alternative. Il s’agit de clauses contractuelles relatives à la protection des données à caractère personnel établies et approuvées par la Commission européenne, que les parties au transfert peuvent annexer à leur convention. Cette solution est considérée comme la plus simple et est donc choisie par la plupart des fournisseurs de services aux Etats-Unis.

Les ‘règles d’entreprise contraignantes’ (‘binding corporate rules’), qui portent principalement sur le transfert interne de données à caractère personnel au sein d’un groupe international, constituent une autre alternative au Privacy Shield. Toutefois, peu d’entreprises américaines optent pour cette solution en raison de son caractère extrêmement formel. Elle nécessite, par exemple, une procédure d’approbation adéquate auprès de l’autorité de contrôle compétente en matière de protection des données à caractère personnel.

Bien que la CJUE ait, jusqu’ici, accepté les différentes garanties précitées, elle déclare que le simple fait d’y avoir recours ne suffit plus. Aujourd’hui, toute entreprise résidant dans un pays de l’UE est tenue de vérifier si, dans la pratique, il existe des garanties suffisantes permettant de protéger les données à caractère personnel des citoyens de l’UE, et ce même si son cocontractant américain a mis en place l’un de ces mécanismes de garantie juridique. Il va sans dire que cela implique de très lourdes charges juridiques et administratives.

Suite à l’arrêt Shrems II de la CJUE, il est important pour chaque PME européenne d’identifier les fournisseurs de services américains avec lesquels elle coopère. En outre, pour chacune des parties, il convient de vérifier si elles ont mis en place des garanties suffisamment appropriées, tant sur le plan juridique (par exemple en ayant signé les ‘clauses contractuelles types’ ou établi des ‘règles d’entreprise contraignantes’) que dans la pratique (notamment en ayant mis en place des mesures techniques et organisationnelles de protection des données adéquates). Si ce n’est pas le cas, la collaboration doit être reconsidérée et, le cas échéant, le transfert de données à caractère personnel vers les Etats-Unis doit être interrompu.

 

Publié le 27/11/2020
Mathilde Boucquiau, mboucquiau@deloitte.com

Did you find this useful?