Le 6 octobre 2015, la Cour de Justice de l’Union Européenne (CJUE) invalide l’accord Safe Harbor, la Commission Européenne et les États-Unis entrent alors dans une phase de négociations en vue de définir un nouvel accord, le Privacy Shield ou bouclier pour la protection de la vie privée.
Le 2 février 2016, le nouveau texte est proposé et approuvé en juillet de la même année. En jeu, le maintien de la possibilité pour les entreprises américaines de gérer et d’exploiter les données personnelles des citoyens de l’UE.
Deux ans plus tard, l’Union Européenne renforce sa politique de protection des données personnelles avec le RGPD (Réglement Général de protection des données).
Il offre un cadre de confiance aux citoyens européens quant à la gestion de leur données personnelles par les entreprises.
Le RGPD plaide l’interdiction du transfert des données informatiques vers l’étranger. Jusqu’à maintenant les deux textes cohabitaient.
En effet le Privacy Shield permettait un transfert de données avec des garanties similaires à celle offertes par le RGPD.
La Cour de Justice Européenne invalide pourtant le texte le 16 juillet 2020.
Qu’en est-il donc des sociétés transférant les données de citoyens européens vers les États-Unis ? N’y a t-il aucun recours pour ces acteurs du web ? Quelles questions se posent pour les entreprises ayant des partenaires ou des prestataires américains ?
Comment fonctionnait le Privacy Shield ?
Le Privacy Shield était un mécanisme d’auto certification pour les entreprises américaines gérant des données de citoyens européens.
Dans la mesure où ces organisations respectaient le RGPD, elles pouvaient gérer des données à caractère personnel transférées depuis l’Europe. ( données de santé, commerciales… etc.).
En pratique, si un citoyen européen voulait protester contre un abus dans l’utilisation de ses données aux États-Unis, il pouvait s’adresser à l’agence de protection des données de son pays, qui transmettait sa plainte au département du commerce, à Washington.
Cet accord donnait plusieurs moyens de contestation pour les citoyens européens tant en Europe qu’aux États-Unis avec notamment une voie d’arbitrage possible en dernier recours.
En clair : les citoyens européens pouvaient faire valoir leurs droits en portant plainte soit auprès des entreprises elles-mêmes, soit auprès des organismes nationaux responsables (type CNIL).
Le Privacy Shield engageait les entreprises américaines importatrices des données à respecter des obligations rigoureuses sur leur traitement et le respect des droits des personnes concernées, sous la surveillance du « Department of Commerce ».
Le cloud privé SecNumCloud
Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.
Des sanctions, voire l’exclusion du nouveau dispositif, pouvaient être appliquées à l’encontre des entreprises se trouvant en violation de leurs obligations.
Ce que cela impliquait pour la gestion des données des entreprises :
- Toutes les données étaient concernées. Fichier client, informations stockées dans un CRM, logs de connexion… Ces données considérées comme personnelles et leur collecte engageait la responsabilité de l’entreprise.
- Celui qui collectait les données personnelles en était le responsable légal. Si une entreprise confiait ses données ou celles de ses clients à un tiers situé aux États-Unis (ou ayant son siège sur le sol Américain) et qu’il y avait une fuite, c’était à l’entreprise (et non au tiers) d’en répondre devant la justice.
- Le Privacy Shield ne permettait pas de garantir ce qu’il advenait aux données confiées à des entreprises américaines. Le recours à la justice américaine via un médiateur envisageait clairement la possibilité de violation de la confidentialité. Le texte du Privacy Shield interdisait « la surveillance de masse » des données mais prévoyait la possibilité d’un accès ciblé par les organismes gouvernementaux. (Cloud Act)
Quelles conséquences pour les entreprises après l’annulation du Privacy Shield ?
Pour commencer, il faut savoir que toutes les entreprises européennes transférant des données vers les États-Unis sont dans l’obligation de trouver une alternative.
Tout transfert ayant lieu maintenant que l’annulation est effective est considéré comme illégal. La situation est la même pour les organisations travaillant avec des prestataires ou partenaires transferant leur données aux USA.
Comment transférer des données vers les États-Unis sans le Privacy Shield ?
En l’absence d’accord, les entreprises peuvent faire signer des clauses contractuelles confirmant que les conditions de transfert sont de niveau adéquat vis à vis du RGPD.
C’est à l’entreprise de juger de la sécurité des données dans le pays destinataire, à savoir les États-Unis car aucun organisme de contrôle ne fera d’enquête.
Le transfert de données à caractère personnel dans ces conditions reste assez risqué. En effet, le Cloud Act reste une donnée à ne pas omettre.
Les autorités américaines peuvent en effet, en cas d’enquête, exiger les données d’acteurs du web américains hébergeant celles des citoyens européens.
Quelles actions entreprendre pour les entreprises ?
Il existe plusieurs points d’attention à prendre en compte après l’annulation du Privacy Shield :
- Vérifiez que vous ne travaillez pas avec des prestataires ou partenaires exportant les données à l’extérieur de l’Espace Economique Européen. Dans tous les cas, demandez des garanties quant à la localisation des données et faites également signer les clauses contractuelles dans le cas ou un transfert est bien effectué.
- Si les clauses ne faisaient pas partie des contrat passés avec vos prestataires, demandez des avenants afin de les ajouter. Néanmoins, les transferts restent très risqués et la dernière alternative est encore de changer de partenaire et travailler avec un acteur européen, gérant les données en Europe.
- Évitez, par souci de maintien de souveraineté, les coopérations incluant des données avec des acteurs du web soumis au Cloud Act.
- Veillez à ce que les personnes concernées par le transfert d’informations soient averties du devenir de leurs données, le non respect de ce devoir d’information étant sévèrement puni par la loi.