Le 25 mars dernier, la Commission européenne et les États-Unis d’Amérique ont annoncé avoir signé un nouvel accord cadre sur le transfert transfrontalier des données personnelles (appelé le « Trans-Atlantic Data Privacy Framework ») qui sera à la base d’une décision d’adéquation de la part de cette même Commission européenne. Ce nouvel accord – communiqué moins de deux ans après la sentence de la Cour de Justice européenne qui avait déclaré non valable le « Privacy Shield » – se fixe comme objectif de ne pas compromettre le niveau de protection des données garanti par le RGPD en cas de transfert de données personnelles vers les États-Unis et, de façon générale, dans le cadre du traitement des données personnelles des citoyens européens. Les points clés de l’accord seront constitués par des règles et des protections obligatoires, afin de limiter l’accès aux données de la part des autorités nord-américaines, ce motif ayant joué un grand rôle dans la décision citée de la Cour de Justice. Il sera en effet permis aux autorités d’accéder et, donc, de traiter les données personnelles seulement dans la mesure où cela serait nécessaire et proportionné pour protéger et poursuivre les objectifs de sécurité nationale définis. Cela aura lieu, peut-on lire dans le communiqué, en mettant en place un mécanisme de recours indépendant sur deux niveaux, afin de déterminer les mesures de correction et d’améliorer la supervision rigoureuse et stratifiée des activités des services de renseignements, tout en garantissant le respect des limitations au cours des activités de surveillance. Le Trans-Atlantic Data Privacy Framework fournira une base fondamentale pour les flux de données transatlantiques, permettant de protéger les droits des personnes concernées. Dans ce communiqué, il a été également confirmé que les équipes du gouvernement des États-Unis et de la Commission européenne continueront à coopérer, en vue de traduire cet accord en documents juridiques que chacune des deux parties devra adopter. Une fois la procédure prévue achevée, les Titulaires et Responsables du traitement, européens et américains, seront appelés à respecter les dispositions de l’accord cadre.
Contenus corrélés:
Le 16 juillet dernier, la Cour de Justice de l’Union européenne (la « CJUE » ou la « Cour ») par son arrêt « Data Protection Commisioner v Facebook Ireland Limited, Maximilian Schrems C-311/18 », a invalidé la décision n° 2016/1250 et, par conséquent, l’accord conclu entre l’Union européenne et les États-Unis destiné à protéger et régir le transfert de données personnelles de citoyens de l’Union à des destinataires situés sur le territoire américain (le « Privacy Shield »).
Pour ceci, Comité européen de la protection des données (« l’EDPB ») a préparé une « Foire Aux Questions » (« FAQ ») que l’Autorité de protection italienne (« l’Autorité de protection ») a traduit en Italien.
Celles-ci prennent le soin de souligner que peuvent encore être considérés comme aptes à justifier le transfert des données personnelles à des destinataires établis hors du territoire de l’Union européenne les autres instruments prévus par le Règlement UE 2016/679 en matière de protection des données personnelles (le « Règlement »), en citant les Clauses contractuelles types (les « Standard Contractual Clauses » ou « SCC ») et les règles d’entreprise contraignantes (les « Binding Corporate Rules » ou « BCR »). Il est de plus souligné que les parties ont la responsabilité d’évaluer au cas par cas les transferts effectués étant précisé que : « le Comité européen de la protection des données est en train d’analyser l’arrêt de la Cour pour décider quelles mesures supplémentaires pourraient être mises en place en plus des SCC ou des BCR, qu’il s’agisse de mesures juridiques, techniques ou organisationnelles, pour transférer des données vers des pays tiers dans lesquels les SCC ou les BCR ne pourront pas garantir seules un niveau suffisant de garanties ».
Cela dit, les FAQ renvoient à un autre instrument servant de base juridique justifiant de tels transferts, à savoir le consentement des personnes concernées. En particulier, il est bien précisé que le langage du consentement doit être simple et clair et doit informer de façon transparente les personnes concernées sur les éventuels risques qu’un transfert vers les États-Unis ou, en tout état de cause, d’autres juridictions étrangères pourrait poser.
Par souci d’exhaustivité, il est de plus signalé que les autres instruments prévus par le Règlement comme bases juridiques permettant de justifier les transferts à l’étranger sont : (i) la présence d’une Décision constatant le niveau de protection adéquat aux exigences européennes en matière de protection des données personnelles et (ii) l’adhésion à des Codes de conduite spécifiques ou, en tout état de cause, à des mécanismes de certification qui doivent être appliqués par la personne à laquelle les données sont transférées.
◊◊◊◊
En tout état de cause, à la lumière des commentaires de la Cour à travers l’arrêt commenté et des FAQ de l’EDPB, toute organisation effectuant des transferts de données vers des destinataires établis hors du territoire de l’Union doit effectuer une évaluation spécifique des traitements ainsi que des risques afférents en identifiant au cas par cas l’instrument permettant de justifier le transfert effectué.
Autres Insights:
Par la sentence du 16 juillet 2020, « Data Protection Commisioner c/ Facebook Ireland Limited, Maximilian Schrems C-311/18 », la Cour de Justice de l’Union Européenne (« CJUE » ou « Cour ») a déclaré nulle la Décision n° 2016/1250 ainsi que l’accord signé entre l’Union Européenne et les États-Unis d’Amérique ayant pour but de protéger et réglementer le transfert des données personnelles des citoyens européens vers des destinataires situés sur le territoire américain (« Privacy Shield »).
La Cour a constaté que les traitements potentiels effectués par les autorités publiques américaines sur toutes les données personnelles transférées sur le territoire des États-Unis prévalent sur les limitations prévues par les droits fondamentaux des citoyens européens (« les intéressés ») que la réglementation européenne a pour but de protéger.
À ce jour, la réglementation européenne de référence en matière de protection des données personnelles est contenue dans le Règlement (UE) 2016/679 (le « Règlement ») selon lequel les données personnelles des intéressés, si elles sont transférées vers des pays n’appartenant pas à l’Union européenne, doivent être protégées par des garanties équivalentes à celles prévues par le droit européen.
La CJUE, en annulant le Privacy Shield, réaffirme la légitimité de l’instrument représenté par ce qu’on appelle les « Clauses Contractuelles Types » (« SCC – Standard Contractual Clauses ») adoptées par la Commission Européenne, mais elle attribue aux autorités de contrôle de chaque pays de l’Union la mission de vérifier et, si nécessaire, de suspendre et d’interdire le transfert des données personnelles vers des pays tiers dont l’ordonnancement ne respecterait pas les conditions prévues dans ces Clauses.
La décision examinée ne pose pas une interdiction absolue de transférer les données personnelles vers les États-Unis, mais elle impose aux entités et aux organisations qui effectuent ce type de transfert de déterminer des instruments alternatifs légitimant cet échange et garantissant aux intéressés des niveaux de protection appropriés.
Sur ce point, nous précisons que le Règlement prévoit différents instruments et mécanismes à utiliser afin de mettre en place un transfert correct de données hors de l’Union Européenne. Notamment :
◊◊◊◊
À la lumière de la sentence de la Cour de Justice examinée, les organisations qui effectuent les transferts de données personnelles des intéressés vers les États-Unis d’Amérique sont tenues de revoir les mécanismes sur lesquels elles ont fondé ces transferts, en déterminant des instruments alternatifs dans les hypothèses où, jusqu’à aujourd’hui, le Privacy Shield a été utilisé.
Comme la Cour l’a précisé, dans le cas où l’on choisirait l’instrument des Clauses Contractuelles Types, il sera nécessaire de déterminer les risques, même potentiels, en analysant non seulement l’organisation du récepteur de ces données mais aussi des facteurs comme le contexte, le secteur ou encore l’ordonnancement du pays tiers dans lequel ce dernier travaille.