Transfert de données vers les Etats-Unis : gare aux garanties illusoires !

Le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) a rendu un arrêt majeur invalidant le régime de transferts de données entre l’Union européenne et les États-Unis dit « Privacy Shield » (CJUE, 16 juill. 2020, aff. C-311/18 di « Schrems II »). Si la Cour n’a pas remis pas remis en question la validité de la décision 2010/87 sur les clauses contractuelles types de la Commission Européenne, il n’est cependant pas certain que celles-ci soient suffisantes dans le cadre d’un transfert de données vers les Etats-Unis.

Pour rappel le Privacy Shield, succédant au Safe Harbor (lui-même invalidé par la CJUE en 2015), est un mécanisme d’auto-certification pour les entreprises établies aux États-Unis. Celui-ci a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux États-Unis (décision 2016/1250). Ce mécanisme était par conséquent considéré comme offrant des garanties juridiques pour de tels transferts de données.

Néanmoins, des doutes subsistaient sur sa validité, et des réserves étaient d’ores et déjà évoquées très tôt par les autorités de contrôle. En effet, à l’image du Safe Harbor, le Privacy Shield prévoyaient des limitations aux principes de protection des données personnelles en vertu « d’exigences relatives à la sécurité nationale ». Deux textes juridiques en l’occurrence organisent cette protection de la sécurité nationale par le biais des programmes et services de renseignement : l’article 702 du « Foreign Intelligence Surveillance Amendment Act (FISA) » et l’« Executive Order 12333 » (ou « E.O. 12333 »). Le premier autorise en effet les organismes de surveillance comme le FBI ou la CIA « l’exploitation de données des ressortissants non américains, même situés hors du territoire des Etats-Unis, dès lors que lesdites données sont détenues par des personnes morales américaines ». Le second permet entre autres « l'acquisition d'une communication non publique par des moyens électroniques sans le consentement d'une personne qui est partie à une communication électronique ». Ces textes permettent finalement une surveillance massive sans cibler spécifiquement des personnes qui seraient à même de porter atteinte aux intérêts des Etats-Unis.

En l’absence de limitations à ces programmes de surveillance à l’égard des ressortissants non-américains, la CJUE considère que le niveau de protection n’est pas substantiellement équivalent en termes de protection des données à caractère personnel. C’est dans ces conditions que la CJUE déclare invalide la décision 2016/1250 de la Commission européenne. En ce qui concerne les clauses contractuelles types, elle ne remet pas en cause la décision de la Commission 2010/87/CE. En revanche, la Cour fait un appel du pied aux autorités de contrôle sur la question de savoir si des transferts de données vers les Etats-Unis sur le fondement de ces clauses contractuelles types doivent être suspendus ou même tout simplement interdits.

C’est dans ce contexte que le Comité Européen de la Protection des Données (CEPD) s’est prononcé sur les répercussions de cette décision sur les transferts de l’Union Européenne vers les Etats-Unis.

En rappel au principe posé par le RGPD, le CEPD indique qu’il appartient à l’exportateur et à l’importateur des données de s’assurer, préalablement à tout transfert, si le niveau de protection est effectivement respecté dans le pays situé en dehors de l’Union Européenne vers lequel les données sont transférées (article 44 et suivants du RGPD). Le CEPD complète la décision en indiquant que les lois de surveillances litigieuses s'appliquent « à tout transfert vers les États-Unis par voie électronique qui relève du champ d'application de cette législation, quel que soit l'outil de transfert utilisé pour le transfert ». Autrement dit, à l’heure actuelle, ni les clauses contractuelles types, ni les BCR ne constituent de « garanties appropriées » suffisantes pour le transfert de données vers les Etats-Unis.

Dès lors, quelles sont les solutions qui s’offrent aux entreprises ? Le CEPD en propose plusieurs :

• La première est quelque peu radicale puisqu’il s’agit de simplement suspendre ou interdire tous les transferts vers les USA, ce qui peut sembler un peu illusoire tant le recours aux prestataires américains, (appartenant souvent aux GAFAM) sont cruciaux et généralisés pour les entreprises européennes ;
• La seconde, tout aussi aléatoire et risquée, consiste à continuer les transferts en totale non-conformité, ce qui suppose de notifier les autorités de contrôle ;
• La troisième consiste à s’appuyer sur les dérogations pour situation particulière (article 49 du RGPD). Ces dérogations sont cependant compliquées à mettre en œuvre opérationnellement et d’interprétation stricte ;
• La dernière consisterait à analyser la situation locale du pays tiers, s’appuyer sur les clauses contractuelles types ou des BCR, déterminer si celles-ci peuvent être appliqués et être effectives, et prévoir des « mesures supplémentaires » le cas échéant. Quelles sont ces mesures supplémentaires envisagées par le CEPD ? La réponse est pour l’instant lacunaire : « Le CEPD analyse actuellement l'arrêt de la Cour afin de déterminer le type de mesures complémentaires qui pourraient être fournies en plus des CCT ou des BCR, qu'il s'agisse de mesures juridiques, techniques ou organisationnelles, pour transférer des données vers des pays tiers où les CCT ou les BCR ne fourniront pas à eux seuls le niveau de garanties suffisant ».

En pratique, dans une démarche d’accountability qui nécessite proactivité et documentation l’entreprise européenne concernée, via son DPO notamment, devrait d’ors et déjà revisiter les exigences contenues dans les CCT ou BCR existantes et analyser au regard de leur criticité et de leur volumétrie les risques pesant sur données personnelles transférées vers les Etats Unis. En effet en cas de contrôle, par exemple après une faille, il sera nécessaire de prouver que le responsable de traitement s’était saisi du sujet afin de trouver des solutions avec leurs sous-traitants et autres partenaires situés sur le territoire des Etats-Unis. A cet égard, Fidal est en train de développer un plan d’action afin de réagir à cette situation.