Jeudi 16 juillet, la Cour de Justice de l’Union européenne a déclaré invalide la décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 (CJUE, aff. C-311/18 du 16 juillet 2020). Cette décision avait créé le « Privacy Shield », un cadre juridique spécifique qui permettait un transfert de données particulièrement souple entre entreprises localisées sur les territoires de l’Union européenne et des Etats-Unis.
La notion de « transfert de données » couvre un large éventail d’opérations, qu’il s’agisse d’une transmission par envoi sous la forme d’un flux ou l’ouverture d’un accès dans les systèmes d’information en vue de la consultation des données par exemple.
Le « Privacy Shield » permettait aux entreprises situées sur le territoire de l’Union européenne de transférer des données à des entreprises américaines, sous réserve que celles-ci se soient engagées, auprès du Département du Commerce des Etats-Unis, à respecter un certain nombre de règles. Les groupes d’entreprises sont également concernés lorsque les entités s’échangent des données sans avoir recours à un encadrement particulier.
Le respect de ces règles permettait ainsi de considérer que ces entreprises membres du dispositif offraient un niveau de protection des données personnelles équivalent à celui qui existait en Europe. Quelques 5 000 entreprises américaines, parmi lesquelles les plus grandes du secteur des nouvelles technologies, étaient membres du Privacy Shield.
Pour rappel, l’adoption de ce dispositif faisait suite à l’annulation, en 2015, du dispositif précédemment en place dénommé « Safe Harbor », déjà initiée par le collectif de Max Schrems (CJUE, aff. C-362/14 du 6 octobre 2015 « Schrems »).
Cette nouvelle annulation va dans un premier temps contraindre les entreprises soumises à l’application du RGPD à procéder à l’inventaire des différents contrats qui impliquent, notamment lors d’une prestation de service, le recours à une entreprise américaine (par exemple, pour des prestations d’hébergement, des services distants, des plateformes de e-commerce).
Cet inventaire doit permettre d’identifier tous les contrats qui nécessitent ou impliquent un transfert de données personnelles vers ces partenaires américains, afin d’encadrer le transfert de données au moyen d’un des autres outils juridiques disponibles.
En effet, l’invalidation de ce dispositif ne signifie pas la remise en cause de tout échange de données à destination des Etats-Unis : le RGPD prévoit d’autres outils d’encadrement des transferts, tels que les l’emploi de clauses contractuelles spécifiques (par exemple, des clauses contractuelles types ou des règles d’entreprise contraignantes pour les groupes d’entreprises).
Le cabinet SCAN Avocats se tient à votre disposition pour vous accompagner dans cette transition vers de nouveaux modes d’encadrement.