RGPD : Les nouvelles obligations des entreprises européennes exportatrices de données personnelles

La Commission Européenne, dans une décision d’adéquation du 12 juillet 2016 (Cf. article 45 du RGPD), avait autorisé le transfert de données personnelles vers les Etats-Unis en validant le “Privacy Shield” et en soulignant que « les garanties pour le transfert des données sur la base de la nouvelle protection des données UE-États-Unis protègent selon les normes de protection des données dans l’U.E. ».

Dans une décision retentissante du 16 juillet 2020, dite “Schrems II”, la CJUE a prononcé l’invalidité du “Privacy Shield” en constatant que la collecte des données personnelles par les services de renseignement américain n’est pas proportionnée et que les voies de recours des personnes concernées sont insuffisantes.

À cette occasion, la Cour s’est aussi prononcée sur la validité des clauses contractuelles types (CCT) en tant qu’instrument de transfert pouvant servir à assurer contractuellement un niveau de protection essentiellement équivalent aux données transférées vers des pays tiers. Aussi, en n’omettant pas le principe essentiel de la hiérarchie des normes, la Cour a précisé qu’il incombe à l’exportateur et à l’importateur de données d’évaluer si le niveau de protection requis par le droit de l’UE est respecté dans le pays tiers concerné, ceci afin de déterminer si les garanties fournies par les CCT peuvent être respectées dans la pratique.
Si ce n’est pas le cas, l’exportateur et l’importateur doivent évaluer s’ils peuvent prévoir des mesures supplémentaires pour assurer un niveau de protection essentiellement équivalant à celui prévu dans l’espace économique européen (EEE), en renforçant notamment les dispositifs contractuels ou techniques, et si la législation du pays tiers n’empiète pas sur ces mesures supplémentaires de manière à les priver d’effectivité.

Cette décision n’a laissé aucun délai de grâce. Du jour au lendemain un grand nombre d’entreprises européennes ont dû réévaluer la conformité de tous leurs transferts de données opérés ou non sous le Privacy Shield et revoir l’ensemble de leurs contrats concernés. Aussi, pour certaines entreprises, cette réévaluation contractuelle pourrait concerner un très grand nombre de contrats qui, par ailleurs, ont déjà dû faire l’objet d’une modification en 2018 lors de l’entrée en vigueur du RGPD.

Par ailleurs, en réaction à la décision et à ses conséquences, le groupe Meta (Facebook, Instagram, WatsApp) a pris une position plutôt radicale. En effet, dans un document du 3 février dernier destiné à la Securities and Exchange Commission (SEC), l’organisme américain de contrôle des marchés financiers, Meta indique qu’il pourrait quitter le marché européen si aucune solution n’est trouvée pour rétablir le transfert légal des données personnelles entre les Etats Unis et l’EEE.

Face à cette décision impactante et l’absence d’éléments concrets présentés par la Cour, l’European Data Protection Board (EDPB) a tenté d’apporter des éléments supplémentaires afin de guider les acteurs concernés.

Suite à la décision “Schrems II”, l’EDPB a publié deux recommandations (N° 01/2020 et 02/2020) afin de guider les différents acteurs concernés dans l’évaluation de la législation des pays tiers et dans le recensement des mesures complémentaires appropriées lorsqu’elles sont nécessaires.

Ainsi, l’EDPB a notamment présenté aux exportateurs de données un certain nombre d’étapes à suivre, par exemple la cartographie de tous les transferts de données à caractère personnel vers les pays tiers, la vérification de l’existence et de la validité des instruments juridiques de transfert utilisés et l’analyse du droit et des pratiques locales du pays tiers.

Désormais, toute entreprise qui exporte des données personnelles en dehors du territoire européen doit respecter les diligences présentées et notamment évaluer la législation du pays tiers au regard des considérants de la décision Schrems II et des recommandations de l’EDPB. Néanmoins, certaines de ces recommandations se trouvent à ce jour difficilement applicables.

L’EDPB recommande, par exemple, qu’en présence d’une autorité administrative de contrôle telle que la CNIL il convient de vérifier que celle-ci “soit suffisamment indépendante à l’égard de l’exécutif” selon les critères posées par la jurisprudence de la CJUE en la matière. Or, celle-ci reste très floue sur les critères permettant de constater l’indépendance d’une institution vis-à-vis du pouvoir exécutif.

Aussi, comme souligne le think tank Renaissance Numérique dans une note de janvier 2021, si on applique strictement les conseils de l’EDPB “très peu de pays atteignent le niveau de ces garanties essentielles, y compris les États membres de l’Union européenne, dont la France. Si on analyse toutes les lois de surveillance des pays du Conseil de l’Europe qui ont été portées depuis 2001 devant la Cour européenne des droits de l’homme (CEDH), aucun pays ne passe le test, hormis un, la Suède”.

Face à ces difficultés, il convient aux entreprises et institutions européennes de s’accorder définitivement sur des critères clairs permettant de vérifier que les données à caractère personnel transférées bénéficient dans le pays tiers d’un niveau de protection substantiellement équivalant à celui qui est garanti dans l’EEE. La signature et la ratification de la convention 108 modernisée par le pays importateur pourrait, par exemple, être l’un des critères à retenir.

Par Pierre-Axel Vaillant, Consultant Senior Square.