RGPD : Privacy Shield annulé, retour aux clauses contractuelles types
Après l'annulation du Privacy Shield par la Cour de Justice de l'Union Européenne, les clauses contractuelles types restent valables et deviennent nécessaires au respect du RGPD en cas de recours à un stockage de données aux Etats-Unis.
PublicitéEn 2015, l'annulation d'un premier accord entre les Etats-Unis et l'Union Européenne sur les transferts de données personnelles, le Safe Harbor, avait donné naissance quelques mois plus tard à un deuxième accord, le Privacy Shield. Celui-ci vient à son tour d'être annulé par la Cour de Justice de l'Union Européenne. Cette annulation ne touche pas les « clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers » établies par la Commission Européenne. Les Etats-Unis deviennent donc juridiquement un « pays tiers » ordinaire du point de vue des transferts de données personnelles. Or la simplification apportée aux entreprises américaines par la possibilité d'adhérer au Privacy Shield était justement liée à la situation particulière de ce pays d'où proviennent la plupart des fournisseurs de cloud et des éditeurs de logiciels courants.
« L'annulation du Privacy Shield entraîne que les transferts de données vers les Etats-Unis ne remplissent plus les conditions exigées par le RGPD si ce transfert s'est fait sur la base de ce seul accord intergouvernemental » indique Christiane Féral-Schuhl, Avocat associé du cabinet Féral-Schuhl / Sainte-Marie et présidente du Conseil National des Barreaux. A l'inverse, si le contrat entre l'entreprise européenne et un fournisseur ou un sous-traitant américain possède les clauses contractuelles types, il n'y a aucun problème. Christiane Féral-Schuhl en déduit logiquement : « la réaction à avoir est d'instaurer immédiatement les clauses types dans les contrats. »
Tous les responsables de traitement qui transfèrent ou stockent des données aux Etats-Unis, notamment en ayant recours à des services cloud, doivent donc procéder immédiatement à une analyse de leurs contrats. Trois questions doivent être successivement soulevées selon Christiane Féral-Schuhl : « Où sont stockées les données ? », « Par où transitent les données ? » et « Les clauses contractuelles types ou les clauses spécifiques rendues nécessaires par une situation particulière sont-elles bien présentes ? ». Il s'agit donc de revenir aux dispositions générales concernant les pays non-européens, l'adhésion au Privacy Shield ne suffisant plus au respect du RGPD ou aux dérogations de l'article 49. Bien entendu, rien n'exclut à ce jour qu'un troisième accord inter-gouvernemental davantage contraignant ne soit à nouveau négocié, même si le contexte politique actuel n'y est guère favorable.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire