La question du transfert des données vers les Etats-Unis demeure au cœur de l’actualité depuis l’invalidation d’abord du Safe Harbor en 2015 puis du Privacy Shield en 2020 par la CJUE. Ce 25 mars 2022, un accord de principe a été annoncé entre les Etats-Unis et la Commission européenne afin d’adopter un nouveau texte.

Pourquoi l’adoption d’un texte est importante ?

Sur le fondement des articles 45 et 46 du RGPD, un transfert de données à caractère personnel en dehors de l’Union européenne doit reposer sur une décision d’adéquation et à défaut sur des garanties appropriées. Parmi les garanties appropriées, l’article 46 du RGPD mentionne « un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics ». En pratique, il peut s’agir d’une convention internationale dont l’intérêt est d’offrir une protection adéquate aux données personnelles et de faciliter les échanges de données en dehors de l’Union européenne.

Jusqu’à la décision de 2015 de la CJUE, les transferts de données personnelles entre l’Union européenne et les Etats-Unis reposait sur le Safe Harbor puis jusqu’en 2020 sur le Privacy Shield.

Ces deux textes ont été invalidés par la CJUE en raison notamment de la surveillance potentielle des données par les autorités américaines sur le fondement de l’article 702 du Foreign Intelligence Surveillance Act (FISA).

Depuis l’invalidation du Privacy Shield, les transferts de données vers les Etats-Unis reposent sur :
 des clauses contractuelles types et,
 des mesures complémentaires.

Par ailleurs, l’EDPD a adopté des recommandations [1] et la CNIL a publié une méthode [2] purement indicative permettant d’épauler les responsables de traitement.

Le début d’année 2022 est marqué par la remise en cause de l’outil Google Analytics tant par l’EDPS (European Data Protection Supervisor) que par la CNIL en raison de l’absence de garantie d’un niveau de protection adéquat. Les mesures contractuelles, techniques et organisationnelles ainsi que les mesures complémentaires misent en œuvre n’étaient pas suffisantes, notamment pour remédier à l’accès aux données par les services de renseignement.

Qu’attendre du nouveau texte ?

Le but annoncé de l’accord est de :
 faciliter les échanges de données personnelles vers les Etats-Unis et alléger les mesures mises en œuvre par les responsables de traitement ;
 assurer que les activités de surveillance des services de renseignement soient nécessaires et proportionnées ;
 mettre en place un mécanisme de recours indépendant doté d’un pouvoir contraignant.

Pour autant, un scepticisme latent plane. « Jamais deux sans trois… » ? Le nouveau texte pourrait se voir une nouvelle fois invalidé par la CJUE si les garanties ne sont pas suffisantes pour assurer la protection des données personnelles des ressortissants européens face au possible accès des services de renseignement américain.

En attendant, que faire ?

Nous recommandons d’adopter les réflexes suivants :
 cartographier vos transferts de données, qualifier vos données pour évaluer le risque ;
 identifier vos prestataires et sous-traitants ;
 auditer vos contrats ;
 vérifier le fondement et l’instrument du transfert ;
 évaluer les obstacles dans le droit interne du pays tiers et analyser les risques et actions de défense possibles ;
 analyser vos risques de manière concrète : risque du transfert vis à vis du RGPD et risque du transfert vis à vis des loi internes ;
 mettre en place des mesures complémentaires adaptées tant ceux nécessaires vis à vis du RGPD que celles nécessaires pour répondre aux risques des lois internes contraignantes ;
 réévaluer le niveau de protection à intervalle régulier.

Claudia Weber, avocat fondateur et Diane de Langeron, élève avocat | Itlaw Avocats Itlaw Avocats - www.itlaw.fr