Post Image

[mis à jour le 24 juillet 2020] L’annulation du Privacy Shield par la CJUE (16 juillet 2020 aff. C-311/18 “Schrems II”) n’est pas une surprise.

Nous étions nombreux(ses) à l’attendre.

La CJUE vient de trancher sans faire dans la dentelle : la décision d’adéquation de l’UE du 12 juillet 2016 est “invalide“.

Les transferts de données à caractère personnel depuis l’UE vers les USA sur le fondement du “Privacy Shield” sont donc nuls depuis ce vendredi 16 juillet 2020.

Une bonne nouvelle pour les droits numériques des Européens

Merci encore M. Schrems pour votre détermination.

Ce que les politiques de l’UE n’ont pas obtenu en 2016, vous l’avez réussi.

Une autre bonne nouvelle pour le business de la data

Par ce même arrêt “Schrems II”, les “clauses contractuelles type” de l’UE (décision de la Commission n°2010/87 du 5 février 2010) sont reconnues valides au regard du RGPD (Règlement UE n°2016/679 du 24 avril 2016).

Ces clauses permettent d’assurer légalement un transfert de données personnelles depuis l’UE vers les USA.

C’est une excellente nouvelle pour le business éthique de la data entre l’Europe et les USA.

Ethique” ? ça veut dire “qui respecte le RGPD“, donc les droits numériques des Européens.

[mise à jour du 24 juillet 2020]

Le European Board of Data Protection, qui regroupe les “CNIL” des 27 membres de l’UE, vient de l’annoncer officiellement dans une FAQ datée du 23 juillet : pas de délai de grâce pour les entreprises afin de se mettre en conformité.

L’impact économique de l’annulation du Privacy Shield

Pour saisir l’importance de cette décision d’annulation, il est nécessaire de quantifier la valeur des échanges de données impactés par cet accord.

Le Secrétaire d’Etat US au Commerce, M. Wilbur Ross, évoque une “relation économique transatlantique qui pèse 7100 milliards de dollars“.

On comprend mieux pourquoi les USA ont mis tant de pression sur l’UE pour conclure le Privacy Shield après l’annulation du Safe Harbor en 2015…

Les conséquences juridiques de l’annulation du Privacy Shield

A compter de ce jour, toute entreprise qui transfert des données personnelles vers les USA doit signer (au préalable) un contrat de transfert de données.

Ce contrat doit être strictement conforme aux clauses type de l’UE.

Ce n’est pas moi qui extrapole cette conclusion, c’est le texte même de la décision d’adéquation de l’UE de 2010.

“Schrems II” ou le retour du droit de l’UE dans les échanges de data avec les USA !!!

Et au titre des grands changements qu’impose l’arrêt “Schrems II” aux entreprises US (qui détestent qu’un contrat ne soit pas gouverné par le droit d’un des états des USA) : l’obligation de soumettre ces clauses contractuelles type au droit de l’un des états de l’UE !

En clair, l’application des clauses contractuelles type de l’UE permettra de faire en Europe un procès (avec sanctions pécuniaires à la clé) au représentant dans l’UE d’un GAFAM qui ne respecterait pas le RGPD.

Non, l’arret Schrems II n’évitera pas l’espionnage généralisé des citoyens et des entreprises européennes par l’Oncle Sam.

Mais si les CNIL d’Europe s’y mettent, cela pourrait couter cher aux entreprises US.

Voila qui devrait (encore) énerver le Président Trump…

Le risque de sanctions techniques et juridiques

Le “risque RGPD” pour les entreprises qui ne respecteraient pas cette décision ? 4 % du chiffre d’affaire mondial (du dernier exercice fiscal…).

Autre sanction possible : l’interruption du flux de données depuis l’UE vers les USA !

Depuis 2015, les professionnels m’expliquent qu’une telle sanction n’est pas techniquement possible…

Reste alors aux autorités de contrôle la sanction pécuniaire du non-respect de cette interdiction technique : le risque est (encore) de 4 % du chiffre d’affaires mondial du contrevenant.

Sur le papier, le risque est lourd. Reste aux autorités de contrôle à imposer ces sanctions (en clair, à procéder à des contrôles).

Apparemment, les autorités de contrôle regroupées au sein du European Board of Data Protection (EBDP) y réfléchissent depuis le 17 juillet 2020 (voir “Invalidation du « Privacy shield » : la CNIL et ses homologues analysent actuellement ses conséquences” sur le site web de la CNIL depuis le 17 juillet 2020)

 

 


Maintenant, vous avez la synthèse.

Vous voulez les détails bien juridiques ?

L’annulation du Privacy Shield en 2020 : remember l’annulation du Safe Harbor en 2015 ?

Depuis la Directive “data protection” n°95/46 du 24 octobre 1995, il n’était pas possible d’exporter des données personnelles” depuis l’UE vers les USA.

Pas possible sauf… si l’importateur US (au hasard, un GAFAM) avait adhéré au programme dit “Safe Harbor” adopté le 26 juillet 2000.

Ou sauf… si l’importateur US avait signé avec son exportateur dans l’UE des clauses contractuelles type (selon le modele obligatoire de l’UE).

Mais voila, suite à un recours de M. Max Schrems, la CJUE avait annulé ce “Safe Harbor” (scandaleux) le 6 octobre 20015.

Cette annulation était tout à fait justifiée en droit (cliquez sur ce lien pour accéder à mon post de blog du 7 octobre 2015).


Il fallait d’urgence “boucher” le vide juridique pour permettre au business de la data de se poursuivre (au profit de nos amis américains exclusivement, bien entendu).

L’adoption (à la va-vite) du Privacy Shield le 12 juillet 2016

Je m’en souviens très bien, j’étais au bord d’une piscine en Dordogne le jour de la publication de ce torchon cet accord entre l’UE et les USA.

Texte fleuve, illisible, prévoyant tellement de voies de recours que cela en était (plus que) suspect.

Même l’adoption de ce traité “UE-USA” avait été réalisée dans des conditions d’opacité très critiquées à l’époque.

Les recours en annulation du Privacy Shield devant la CJUE  ont démarré dès fin 2016 (voir mon post de blog en BD de septembre 2016).

Ce que pensaient du Privacy Shield les juristes sérieux/ses et soucieux/ses des libertés numériques des européens ? En une slide ?


Le cadre juridique des transferts de données personnelles hors UE selon le RGPD

L’invalidation d’une des modalités de transfert des données personnelles hors de l’UE est l’occasion de réviser l’ensemble des mécanismes juridiques offerts par le RGPD.

Parmi ces 6 modalités, citons principalement (i) les décisions d’adéquation de l’Union Européenne (dont le Privacy Shield était  le seul accord “sectoriel”) et (ii) les “garanties appropriées” (par exemple, les clauses contractuelles type).

Rappelons qu’un transfert de données hors UE vers un pays offrant un “niveau de protection adéquat” peut être opéré par un exportateur européen “sans qu’il soit nécessaire d’obtenir une autre autorisation” (voir le Considérant n°103 du RGPD).

Pour un aperçu détaillé de l’ensemble de ces 6 mécanismes RGPD, vous pouvez accéder à ma présentation (en BD) sur ce sujet précis, en ligne depuis juillet 2017.

Pour les plus pressé(e)s, une synthèse de ces différents mécanismes figure dans le slider en fin de ce post.

Rappelons enfin que les décisions d’adéquations conclues par l’UE sous le régime de la Directive 95/46 ont été prolongés pour une durée de 4 ans à compter de l’entrée en vigueur du RGPD (25 mai 2018).

L’arrêt Schrems II : la validation des clauses contractuelles type UE de 2010 !!!

Les raisons de l’annulation du Privacy Shield ?

Les mêmes que celles ayant concouru à l’annulation du Safe Harbor en 2015.

Avec en tête de liste, l’impossibilité pour un européen de mener de manière effective un recours juridictionnel en cas de non-respect de ses droits aux USA.

Alors, faire du business de la data entre l’UE et les USA, c’est encore possible en toute légalité ?

OUI !

Depuis ce 16 juillet 2020, il faut conclure un contrat d’exportation de données entre l’exportateur européen  et l’importateur USA.

Evidemment, cette conclusion doit être préalable toute opération de transfert (c’est là que ça va coincer un peu).

Par son arrêt du 16 juillet 2020 “Schrems II”, la CJUE vient officiellement de confirmer la validité juridique des clauses type de l’UE au regard du RGPD.

Ces clauses UE type de  2010 (actuellement objets – elles aussi – d’autres recours en annulation devant la CJUE) sont désormais un instrument juridique fiable.

ça tombe bien, c’est le seul qui nous reste…

Au final, devant la défaillance des politiques de l’UE à défendre les droits numériques des européens, il faut remercier la CJUE qui – elle – n’hésite pas à tirer les conséquences logiques des textes qu’elle interprète.


 

CJUE 16 juillet 2020 aff. C-311/18 Schrems II : la présentation détaillée en BD dans le slider ci-dessous

Suivant
nomadisme et cyber-sécurité : quel retour d’expérience avec la crise du Covid-19 ? [webinar 1er juillet 2020]