« Pour notre vie privée, les Etats-Unis devront s’engager dans une réforme sérieuse de la surveillance afin de revenir à un statut privilégié pour les entreprises américaines. » - Max Schrems
L'arrêt Schrems II de la Cour de Justice de l'Union Européenne (« CJUE ») du 16 juillet 2020, a eu un impact énorme dans le monde de la protection des données personnelles (e.g., Google a été dans l’obligation de changer directement sa politique de confidentialité). Dans cet arrêt, la CJUE met en évidence le droit fondamental à la vie privée dans le cadre du transfert de données personnelles vers des pays tiers (Voir un résumé de l’arrêt ici).
Dans Schrems II, les juges de la CJUE ont invalidé la conclusion de la Commission européenne, selon laquelle, le Privacy Shield offre une protection adéquate des transferts de données personnelles en vertu du Règlement Générale de la Protection des Données (le « RGPD »). Les juges ont déclaré que cet accord « n’accorde pas aux Européens des droits de recours devant les tribunaux contre les autorités américaines ».
Par conséquence, le Privacy Shield, actuellement utilisée par des milliers d’entreprises américaines, ne peut plus être la base des transferts de données européennes vers les Etats-Unis.
La cour a toutefois déclaré qu’un autre arrangement, connu sous le nom de clauses contractuelles types (« CCT »), pouvait être maintenu, offrant ainsi aux entreprises un cadre alternatif.
Cependant, les CCT ont une application complexe dans ce contexte, car les mêmes questions qui invalident le Privacy Shield s’appliquent également aux CCT avec les sociétés américaines.
En effet, la décision 2010/87/CE, relative aux CCT, impose à un exportateur de données et au destinataire des données (l'« Importateur de données ») l'obligation de vérifier, préalablement à tout transfert, et compte tenu des circonstances du transfert, si ce niveau de protection est respecté dans le pays tiers concerné, et que la décision 2010/87/CE exige que l'Importateur de données informe l'exportateur de données de toute incapacité à se conformer aux clauses types de protection des données et, le cas échéant, à toute mesure complémentaire à celles prévues par ces clauses, l'exportateur de données étant alors, à son tour, tenu de suspendre le transfert de données et/ou de résilier le contrat avec l'Importateur de données.
Dès lors, comme l’a ajouté Mr. Herwig Hofmann, professeur de droit à l’université de Luxembourg et l’un des avocats plaidant les affaires Schrems devant la CJUE : « Il ne peut y avoir de transfert de données vers un pays doté de formes de surveillance de masse. Tant que la loi américaine donnera à son gouvernement le pouvoir de passer l’aspirateur sur les données de l’UE transitant vers les États-Unis, ces instruments seront annulés à maintes reprises ».
Ce qui signifie en pratique, que pour la quasi-totalité des entreprises américaines, les CCT ne garantissent pas non plus un niveau de protection et de confidentialité substantiellement équivalentes à celles requises par le RGPD pour le transfert international des données personnelles entre l’Union européenne et les États-Unis.
Il s’agira donc d’accord au cas par cas, qui doit être soutenu par des règles strictes de l’Union européenne en matière de protection de données, tel que le RGPD.
Il est donc clair que les États-Unis devront modifier sérieusement leurs lois de surveillance si les entreprises américaines veulent continuer à jouer un rôle sur le marché de l’Union Européenne.
Le conseil de DSM Avocats à la Cour :
Veillez à adapter vos contrats, vos avis de confidentialité et vos registres d’activités de traitement si vos entreprises ont mis en place de tels transferts. Vérifiez également les garanties mises en place dans le cadre d’un transfert de données personnelles et adaptez les vers les États-Unis.
Pour vous aider, le Comité Européen de la Protection des Données a adopté un document visant à présenter les réponses à certaines questions fréquemment posées depuis la décision de SCHREMS II. Ce document est disponible ici.