Par Gérard Haas, Anne Charlotte Andrieux et Eléonore Hakim
Après le Safe Harbord, puis son successeur, le Privacy Shield, Bruxelles annonce qu’un nouvel accord de transfert UE-US serait en projet.
Faisant suite à plusieurs mois de négociations, le Président américain Joe Biden et la Présidente de la Commission européenne Ursula von der Leyen viennent d’annoncer qu’un accord aurait été trouvé afin d’encadrer le transfert de données personnelles entre l’Union européenne et les Etats Unis.
Une zone d’incertitude depuis l’arrêt Schrems II
Depuis l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne (CJUE) le 16 juillet 2020[1], les entreprises amenées à transférer des données à caractère personnel des utilisateurs européens vers des pays non reconnus comme offrant un niveau de protection adéquat par la Commission européenne, tel que vers les Etats unis, se trouvent dans une zone d’incertitude quant aux mesures à mesures à mettre en œuvre afin de garantir la licéité du transfert de leurs données.
Depuis l’arrêt Schrems II, les transferts de données personnelles vers des pays n’offrant pas un niveau de protection équivalent aux standards européens nécessitent :
- non seulement la mise en œuvre d’un instrument de transferts au sens du Chapitre V du RGPD tel que les clauses contractuelles types, dans leur version actualisées par la Commission européenne le 4 juin 2021[2];
- mais encore l’adoption de mesures complémentaires recommandées par le CEPD, lesquelles doivent prendre en considération les garanties et les menaces spécifiques à la législation locale [3].
L’observation stricte des Recommandations du CEPD conduisait dès lors à suspendre le transfert de données en clair vers les pays non adéquats, et notamment les Etats-Unis.
Vers le rétablissement d’un cadre juridique légal aux transferts de données ?
L’annonce d’un accord cadre pour les flux de données transatlantiques laisse alors s’installer une once d’espoir pour les organismes ayant recours à des prestataires américains.
Bien que le contenu de cet accord n’ait pas encore été révélé, Joe Biden et Ursula Von der Leyen ont affirmé sur Twitter avoir un « accord de principe sur le nouveau cadre pour les flux transatlantiques » afin de permettre « des flux de données prévisibles et dignes de confiance, en équilibrant la sécurité, le droit à la vie privée et la protection des données ». L’exécutif européen se contente à ce stade d’indiquer que le futur bouclier UE/US sera construit autour de protections juridiques renforcées.
Bien que ne donnant aucune visibilité sur l’échéance de ce nouvel accord, cette annonce atteste d’une démarche active de Bruxelles et Washington pour parvenir à des garanties équilibrées afin d’assurer une conciliation entre transfert de données et protection de la vie privée.
Quels enjeux pour 2022 concernant le transfert de données ?
Il convient toutefois de s’interroger sur la conciliation du futur accord avec la position stricte de la CNIL qui a dernièrement interdit l’utilisation de Google Analytics aux éditeurs de sites français, en considérant que les transferts de données en dehors de l’Union européenne induits par la solution intervenaient en violation du RGPD.
Aussi, pour l’année 2022, la CNIL a décidé de pointer sa stratégie de contrôle sur les prestataires de solutions cloud, estimant que l’usage de ces technologies est susceptible d’entraîner des risques importants de transferts massifs de données en dehors de l’Union européenne.
Nul doute que le sujet sera suivi avec attention par les services de la Commission.
De son côté, Max Schrems, le Président de l’association NOYB, a d’ores et déjà prévu de se tourner vers la CJUE si le texte ne protège pas suffisamment les utilisateurs européens.[4]
L’accord proposé pour encadrer les transferts de données personnelles sera-t-il à la hauteur des attentes européennes ?
Affaire à suivre…
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de vingt-cinq ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit et notamment en matière de protection des données personnelles. Si vous souhaitez avoir plus d’informations au regard de la réglementation en vigueur, n’hésitez pas à faire appel à nos experts pour vous conseiller. Pour en savoir plus, contactez-nous ici.
[1] Arrêt de la Cour (grande chambre) du 16 juillet 2020 ; Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems.
[2] Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil (Texte présentant de l’intérêt pour l’EEE)
[3] Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE Adoptées le 10 novembre 2020
[4] Le « Privacy Shiedl 2.0 », Max Schrems, 25 mars 2022
