Conseils suite à l’affaire Schrems
Le 16 juillet 2020, la Cour de justice de l'Union européenne (CJUE) a publié sa décision dans l'affaire historique Data Protection Commissioner v Facebook Ireland Ltd, affaire C-311/18 (connue sous le nom d'affaire Schrems II). Si le bouclier de protection de la vie privée (Privacy Shield) entre l'Union européenne et les États-Unis a été complètement invalidé, les clauses contractuelles types (CCT) restent valables, mais à des conditions strictes.
Voici nos recommandations concrètes sur les suites à donner à cette décision.
Surveiller les mises à jour des orientations du Conseil européen de la protection des données (CEPD) et des autorités de protection des données (APD)
Le jugement n'est pas clair quant à la manière dont une conformité satisfaisante devrait être obtenue. Ces orientations seront cruciales pour déterminer si l'une des mesures suivantes est suffisante.
Cartographier soigneusement les flux de données internationaux et les mécanismes de transfert existants
La cartographie des flux de données a pu être réalisée de manière peu rigoureuse, puisque dans le passé lorsque des CCT étaient mises en place, les données personnelles pouvaient être transférées n'importe où. Une première étape consiste donc à cartographier précisément quelles données à caractère personnel sont transférées vers, ou consultées depuis, quel pays en dehors de l'EEE et à déterminer quel mécanisme d'exportation était précédemment utilisé pour légitimer ce transfert (c'est-à-dire le bouclier de protection de la vie privée, les CCT ou les règles d'entreprise contraignantes (BCR)) ou une dérogation). La cartographie doit indiquer la quantité et la sensibilité des données afin de pouvoir évaluer la probabilité d'un accès du gouvernement et le préjudice qui en découle pour l'individu, ainsi que la facilité avec laquelle l'activité de traitement pourrait être délocalisée si nécessaire
Les transferts vers les États-Unis devront être évalués ; d'autres pays suivront :
Jusqu'à présent, les États-Unis sont le seul pays pour lequel la CJUE s'est prononcée sur l’adéquation de ses pratiques et de sa législation en matière de surveillance et a constaté qu'elle était insuffisante. Bien que d'autres pays puissent avoir des régimes plus larges et moins contrôlés, ceux-ci n'ont pas fait l'objet d'une conclusion ou d'un arrêt du Comité européen de Protection de la Donnée ou de la CJUE dans ce contexte. Par conséquent, il semblerait plus défendable de ne rien faire jusqu'à ce que des orientations soient publiées concernant ces pays.
Mettez en place des CCT si vous vous appuyiez auparavant sur le bouclier de protection de la vie privée :
Le bouclier de protection de la vie privée n'est plus valable. Il est donc prudent de mettre en place des CCT à ce stade pour s'assurer qu'un mécanisme d'exportation valide est en place (même s'il est mis à jour par la Commission européenne ou si vous devez y ajouter des garanties supplémentaires). Les BCR peuvent constituer une solution à long terme mais ne seront pas approuvées du jour au lendemain (il est plus probable que l'approbation prendra entre 6 et 24 mois).
Réfléchissez à la manière dont vous allez aborder l'évaluation requise lorsque vous utiliserez les BCR:
Lorsque les CCT sont actuellement utilisées ou sont destinés à être utilisées, l'arrêt exige des parties qu'elles évaluent les lois applicables à l'accès par les autorités publiques du pays de l'importateur de données. L'arrêt ne fournit pas un cadre solide que les organisations peuvent utiliser et des conseils du CEPD ou des autorités de contrôle locales seront nécessaires pour les aider dans cette tâche. Dans l'intervalle, il peut être prudent d'examiner la législation des pays non-membres de l'EEE et non-approuvés par la Commission vers lesquels les données sont exportées (tant sur une base intra-groupe qu'extra-groupe). Vous devriez examiner si les lois de ces pays pourraient être problématiques et si des garanties supplémentaires pourraient être nécessaires. Un exercice similaire est conseillé en ce qui concerne les BCR. Les BCR sont également un mécanisme contractuel et sont donc soumises aux éventuelles lacunes du régime de surveillance de l'importateur (bien qu'en fonction de leur contenu, les BCR puissent déjà incorporer des mesures équivalentes aux garanties supplémentaires requises pour les CCT).
A titre indicatif, la Commission nationale de l’Informatique et des libertés françaises (CNIL) a publié une carte permettant de visualiser les différents niveaux de protection des données à caractère personnel dans le monde. Vous pouvez retrouver cette carte en cliquant sur le lien suivant:
https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
Il convient d'examiner quelles garanties supplémentaires pourraient être appliquées : elles peuvent être techniques ou contractuelles. Les garanties techniques peuvent comprendre:
Le cryptage du flux de données (n'oubliez pas que l'adversaire est un État-nation et que les mesures devront donc être robustes, ce qui peut se traduire par une utilisation lourde ou coûteuse).
Des mesures contractuelles pourraient inclure une transparence et un contrôle accrus de la part de l'importateur de données, afin que l'exportateur de données puisse s'assurer que ce dernier dispose d'un processus solide pour contester les demandes.
Réduire au minimum la quantité de données divulguées.
La notification à l'exportateur des demandes des autorités répressives afin qu'il puisse intervenir, à moins que la loi ne l'interdise réellement, ainsi que des statistiques sur la fréquence et le type de demandes auxquelles il a été donné suite au cours des 24 derniers mois, afin que l'exportateur puisse évaluer la probabilité que ses données soient également consultées.
La possibilité de délocaliser certains types de données ou certaines activités de traitement des données vers d'autres pays ou de cesser finalement le traitement (à des conditions commerciales acceptables).
Examinez si une dérogation peut s'appliquer :
Il existe un certain nombre de dérogations disponibles (examinées plus en détail ci-dessous). Nous considérons qu'elles sont d'une aide limitée en ce qui concerne les transferts "habituels" au jour le jour. Toutefois, elles peuvent être utiles en tant que solution de repli pour évaluer la rapidité avec laquelle une mesure de sauvegarde supplémentaire doit être mise en œuvre ou l'activité de traitement doit être délocalisée si nécessaire.
Veiller à ce que les principales parties prenantes soient conscientes des implications de l'arrêt :
La haute direction doit être informée de la décision car il y aura probablement des implications en termes de coûts (par exemple, l'évaluation des systèmes juridiques de la juridiction de l'importateur et la mise à jour des contrats) et des impacts sur les décisions commerciales clés (par exemple, la question de savoir si les données doivent rester dans l'EEE à l'avenir).
Envisager de retarder les transactions impliquant l'exportation de données à caractère personnel vers des juridictions n'appartenant pas à l'EEE ou approuvées par la Commission :
L'impact de l'arrêt dans la pratique reste à voir, mais il est clair que les parties devront procéder à des évaluations des cadres juridiques hors EEE et les approuver. Lorsqu'une transaction est en cours, les parties devront envisager de répartir les risques et les responsabilités à cet égard. Ces exigences peuvent également donner lieu à des décisions de restructuration des transactions afin de conserver les données personnelles au sein de l'EEE ou d'une juridiction approuvée par la Commission (par exemple, le Canada).