Aux termes d’une décision rendue le 16 juillet dernier, dans l’affaire C-311/18 – Data Protection Commissioner/Maximillian Schrems et Facebook Ireland, la Cour de justice de l’Union européenne a invalidé la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (le « Privacy shield »).
Le règlement général relatif à la protection des données (le « RGPD ») prévoit les conditions dans lesquelles un transfert de données vers un pays tiers peut être valablement réalisé[1].
Jusqu’au 16 juillet dernier, les transferts de données vers le sol américain pouvaient être opérés par référence au Privacy Shield, à savoir un mécanisme d’auto-certification pour les entreprises établies aux États-Unis, reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux États-Unis.
Or, dans ce récent un arrêt du 16 juillet 2020, la Cour de justice de l’Union européenne a invalidé le Privacy shield, estimant notamment que son application ne permet pas d’assurer le niveau de protection requis pour que le droit de l’Union soit respecté.
Concrètement, donc il n’est plus possible de se référer au Privacy Shield pour transférer des données en dehors de l’Union européenne vers les États-Unis.
La CNIL précise à cet égard, sans équivoque, que « les transferts effectués sur la base de ce cadre juridique sont illégaux »[2].
Il en va notamment ainsi de l’ensemble des transferts de données réalisés vers les serveurs de prestataires américains, hébergés sur le ce territoire (par exemple aux fins de stockage).
Dans ce contexte, le responsable de traitement demeure en capacité de se prévaloir de l’une des exceptions de l’article 49 du RGPD pour réaliser un tel transfert, et notamment du consentement explicite de la personne concernée.
La CNIL précise ainsi « qu’il est encore possible de transférer des données de l’EEE vers les États-Unis sur la base des dérogations prévues à l’article 49 du RGPD, à condition que les conditions énoncées dans cet article s’appliquent. […] En particulier, il convient de rappeler que lorsque les transferts sont fondés sur le consentement de la personne concernée, ils doivent être : explicite ; spécifique au transfert ou à l’ensemble de transferts de données (ce qui signifie que l’exportateur de données doit s’assurer d’obtenir un consentement spécifique avant la mise en place du transfert, même si celui-ci a lieu après la collecte des données) ; et éclairé, notamment des risques éventuels du transfert (ce qui signifie que la personne concernée doit également être informée des risques spécifiques résultant du fait que ses données seront transférées vers un pays qui n’offre pas une protection adéquate et qu’aucune garantie adéquate visant à assurer la protection des données n’est mise en œuvre) ».
A ce jour donc, l’obtention d’un tel consentement explicite sera préconisée ; à tout le moins durant la période d’insécurité juridique actuelle et dans l’attente d’une nouvelle évolution de l’équilibre juridique en matière de transferts de données vers les États-Unis.
Marseille, le 9 décembre 2020.
[1] Le RGPD prévoit que le transfert de données vers un pays tiers ne peut avoir lieu : en principe, que si le pays tiers en question assure un niveau de protection adéquat à ces données, lequel peut être constaté par Commission européenne, au regard de la législation interne ou des engagements internationaux du pays concerné (article 45 RGPD). En l’absence d’une telle décision d’adéquation, un tel transfert peut être réalisé si l’exportateur des données à caractère personnel, établi dans l’Union, prévoit des garanties appropriées (article 46 RGPD). A défaut de décision d’adéquation et de garanties appropriées, le transfert vers un pays tiers peut enfin être réalisé en application de l’une exceptions limitativement énumérées par l’article 49 du RGPD, parmi lesquels figure le consentement explicite de la personne concernée.
[2] https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-premieres-questions-reponses-du-cepd