Patrick Blum,
Vice-Président Métiers, AFCDP
Dans l’arrêt du 16 juillet 2020, la CJUE a décidé d’invalider la décision de la Commission européenne qui établissait le « Privacy Shield », ce qui crée, pour les organismes européens, une situation opérationnelle complexe.
L’AFCDP alerte les entreprises
Désormais, lorsqu’un organisme met en œuvre un traitement de données personnelles qui comporte un transfert vers un fournisseur situé aux États-Unis, ce transfert ne peut plus être considéré comme conforme au RGPD, sur la base du « Privacy Shield ».
Quelle serait l’alternative ? Si la validité des « clauses contractuelles types » (CCT) a été confirmée de manière générale, leur utilisation est-elle une mesure suffisante pour assurer une protection adéquate des transferts de données vers un fournisseur américain ? Cet importateur peut-il garantir une protection compatible avec le RGPD au regard des pouvoirs des autorités américaines du renseignement issus notamment du Foreign Intelligence Security Act, du « CLOUD Act » et de l’Executive Order 1233 ?
Cette question clé n’est pas tranchée aujourd’hui et est renvoyée à l’appréciation des entreprises exportatrices et importatrices de données.
Le dilemme pour les responsables de traitement de données européens est donc de maintenir des transferts vers les États-Unis avec l’incertitude actuelle et le risque de sanctions éventuelles, ou de renoncer à tout traitement de données de ce type, et revoir intégralement leur architecture et leurs solutions informatiques, en excluant d’innombrables solutions parmi les plus innovantes, à commencer par celles de grands acteurs du Web, ce qui peut impliquer des coûts de structure significatifs et ne peut s’envisager que sur plusieurs années.
L’AFCDP sollicite une prise de position claire des « CNIL » européennes
L’AFCDP considère que cette décision est positive car elle va faire progresser les droits des européens. Mais, elle s’inquiète de la situation ambigüe créée.
Alors que les décisions d’adéquation permettent de constater que des pays tiers (Argentine, Israël, Japon, Nouvelle-Zélande, Suisse, Uruguay…) offrent un niveau de protection des données équivalent à celui du RGPD, les États-Unis ne sont pas considérés comme un pays « adéquat ».
Selon l’arrêt de la CJUE, l’outil des CCT semble d’une manipulation délicate, car s’il encadre les pratiques des fournisseurs, il ne préjuge pas de celles des États. Quand bien même les CCT imposent aux entreprises exportatrices et importatrices d’apprécier le risque du transfert pour les données et de le suspendre en cas de risque, l’AFCDP trouve disproportionné de faire peser sur les entreprises l’analyse du régime juridique applicable aux services de renseignement du pays importateur.
Et qu’en est-il des transferts vers les autres pays « non adéquats », en particulier ceux dont les services de renseignement sont particulièrement actifs ? Pour utiliser des CCT, il faudrait donc maîtriser les lois du renseignement de chacun de ces pays ?
Dans ce contexte, l’AFCDP suggère aux organismes concernés d’adopter une position pragmatique. S’il n’est pas possible d’éviter un transfert de données personnelles vers les États-Unis, il convient d’exiger, à titre de protection minimale, la signature de clauses contractuelles conformes aux CCT de la Commission européenne, enrichies de clauses complémentaires engageant l’importateur de données avec, si possible, une information renforcée des personnes concernées sur les risques encourus.
L’AFCDP souhaiterait que la CNIL et ses homologues réunis au sein du Comité européen de la protection des données (CEPD/EDPB) formulent rapidement une recommandation commune et sans ambigüité sur les mesures de protection à mettre en œuvre et les lignes directrices permettant aux organismes concernés de poursuivre leurs activités impliquant des fournisseurs américains, dans des conditions de sécurité juridique optimales.