Le 16 juillet 2020, l’arrêt Schrems de la Cour de justice de l’Union européenne (CJUE) met fin au Privacy Shield, l’accord régissant le transfert de données entre l’Union européenne (UE) et les États-Unis. Désormais, les données personnelles des citoyens de l’UE ne peuvent plus être stockées ou traitées sur des serveurs américains. Les différents acteurs concernés par ces transferts de données tels que Facebook ou encore les services de cloud permettant d’héberger des données sur le sol américain, ont été impactés par cette décision. Le secteur a alors dû s’adapter à cette nouvelle législation.
Pour accompagner cette transition, le Comité européen de la protection des données (CEPD) a publié ses recommandations le 10 novembre 2020, il y présente différentes mesures additionnelles afin de rendre légal le transfert de données à l’extérieur de l’UE. Ces mesures viennent s’ajouter à celles déjà prévues par l’article 46 du règlement européen sur la protection des données (RGPD).
Le but de ces recommandations est d’aider les responsables de traitement à prendre des mesures adaptées, en recensant tous les transferts de données envisagés hors de l’UE, et en transférant seulement les données strictement nécessaires dont les finalités de traitement sont déterminées et limitées.
De plus, il faut que les responsables de traitement vérifient la nature des outils utilisés pour l’exportation des données et qu’ils évaluent le régime juridique appliqué dans le pays destinataire, en analysant les garanties offertes par ce pays en matière de protection des données.
Ainsi, des mesures doivent être prises entre l’exportateur de donnée et l’importateur, pour que le niveau de protection des données personnelles soit équivalent à celui garanti par le RGPD, ces mesures pouvant être contractuelles, techniques ou organisationnelles.
Par ailleurs, régulièrement, le niveau de protection des données devra être réévalué et les mesures doivent être adaptées en fonction de l’évolution de la législation.
Parmi les mesures additionnelles proposées, il y a notamment, le recours à l’encryptage des données, l’usage de la pseudonymisation, ou encore de la ségrégation des données entre plusieurs clouds de nationalités différentes.
Par exemple, le transfert de données personnelles est légal lorsque le pays exportateur est le seul à détenir les clés de chiffrement des données exportées. Dans d’autres cas, il se peut qu’aucune des mesures prévues par les recommandations de la CEDP ne rende légal le transfert de données personnelles, notamment, à cause du droit interne des pays dans lesquels les données sont importées. Tel est le cas, du transferts de données personnelles vers les États-Unis. En effet, le Foreign Intelligence Act autorise la National Security Agency (NSA) à récupérer les données personnelles étrangères stockées aux États-Unis. Cette loi était déjà la cause de l’invalidation du Privacy Shield par la CJUE, et les recommandations de la CEDP n’apportent pas de nouvelles solution à cette problématique. Le transfert de données personnelles vers les États-Unis reste donc illégal en l’état actuel du droit européen.
Ces recommandations de la CEDP s’appliquent pleinement et immédiatement, bien qu’elles soient soumises à une consultation publique du 11 au 30 novembre 2020, il faudra alors, être attentif à son devenir. En conclusion, ces lignes directrices apportent des mesures nouvelles pour permettre le transfert de données personnelles hors de l’UE, mais aucune solution n’a été trouvée pour les transferts de données vers les États-Unis, à moins qu’un changement de la législation américaine intervienne sous l’impulsion de la nouvelle administration Biden.
SOURCES :
https://www.blogdumoderateur.com/transfert-donnees-hors-europe-recommandations/
https://www.blogdumoderateur.com/privacy-shield-impact-decision-justice-europeenne/
https://www.dalloz-actualite.fr/flash/transfert-de-donnees-vers-usa-l-arret-schrems-ii#.X7P7iFDjKM8