Close

Invalidation du « Privacy shield » par la cour européenne de justice.

Source: Pixabay

La cour européenne de justice a invalidé le « Privacy Shield » le 16 juillet dernier. Le « Privacy Shield » est ce mécanisme juridique mis en place pour gérer les échanges de données entre l’Europe et les Etats-Unis. C’est un élément clé pour l’ensemble des entreprises qui travaillent sur les deux continents et échangent des données. Cette décision n’est toutefois pas une surprise, compte tenu de l’annulation du précédent mécanisme qui était le « Safe Harbor »

Quels ont été les fondements clés de ce jugement ?

Avant de comprendre les conséquences de ce jugement, il est important d’en comprendre les origines. Tout d’abord comme nous l’avons évoqué plus haut, dès sa naissance, l’ombre d’une invalidation planait compte tenu de l’abrogation du « Safe Harbor » lui-même considéré comme non conforme à notre RGDP (Règlement Général des Données Privées). Mais cette annulation est aussi due à la persévérance d’un individu, M. Schrems, ressortissant autrichien, utilisateur de Facebook, qui n’acceptait pas que ses données soient transférées de Facebook Irlande vers les serveurs américains de l’entreprise.

La CJUE (Cour de Justice  de l’Union Européenne) estime que le droit européen implique que la RGPD s’applique à l’ensemble de transfert des données hors de l’UE (Avis de la CJE – CNIL). La CJE constate que des limitations internes au droit américain ne garantissent pas suffisamment la protection des données personnelles des citoyens européens, et elle invalide donc la décision précédente qui avait permis la mise en place du « Privacy Shield ».

Décision qui n’est pas surprenante, compte tenu de l’annulation de l’accord « Safe Harbor » en 2015 par la même CJUE. La plainte initiale de M. Schrems à l’égard de Facebook en était déjà l’origine. L’ arrêté de la court d’une trentaine de pages, en donne les différentes raisons (LeMonde).

L’arrêté invalidant le « Privacy Shield » précise que les clauses contractuelles type permettant le transfert des données n’étaient pas invalidées, et donc comme lors de l’annulation du « Safe Harbor » permet les entreprises ayants ce type de clauses contractuelles pour encadrer leurs échanges de données de ne pas être impactées ou seulement de façon marginale. Cependant, la CNIL et ses homologues européens vont faire une analyse précise de l’arrêté, nous devrions avoir dans les jours qui viennent plus de détails et une vision plus précise des impacts de cet arrêt.

Quels sont les effets attendus de cet arrêté ?

 L’un des tous premiers effets, puisque le mécanisme des clauses contractuelles est considéré comme valide, est que les entreprises qui doivent transférer des données hors UE (Union Européenne) pourront le faire en mettant en place des clauses contractuelles type encadrant les transferts de données. Cependant c’est un processus long et laborieux qui va potentiellement ralentir ces échanges (mydatacompany.fr). C’est à la charge de l’entreprise qui souhaite exporter ses données d’apporter la preuve que les mécanismes de protection sont suffisants. De plus comme toutes clauses contractuelles issues d’un contrat entre deux entreprises, elles peuvent être contestées, devant une autorité de protection des données comme la CNIL, et ajoute un risque juridique sur les échanges de données hors de l’Union Européenne.

Quels sont les autres impacts dont on peut commencer à esquisser pour l’ensemble des entreprises qui doivent échanger des données avec les Etats-Unis et qui n’ont pas forcément établi de clauses contractuelles type, s’appuyant uniquement sur le « Privacy Shield » ?

Le premier impact, c’est qu’à partir du jour de la décision de la CJUE, toute entreprise qui ne s’appuyait que sur le Data Privacy Shield, devra mettre en place des clauses contractuelles type pour tout échange de données avec les Etats-Unis.

Quelles peuvent être les données concernées ? Toutes les données personnelles des employés, clients, fournisseurs ou utilisateurs des entreprises concernées.

Comment maintenir sa conformité RGPD (TOOLinux) ?Pour les entreprises ayant des filiales aux Etats-Unis ou inversement des entreprises américaines ayant des filiales en France se profile un vrai casse-tête pour les services des Ressources Humaines. Par exemple. : Comment évaluer un employé sur le sol français si le manager est aux US ? Comment est structuré le SIRH (Système d’information Ressource Humaine) pour gérer ces échanges de données ?

La même question se pose pour les services marketing et commerciaux. Comment sont gérés leur CRM (Customer Relationship Management), leurs bases données clients, prospects ? Les solutions Cloud actuelles dans ces domaines sont-elles en mesure de gérer proprement l’origine des données et leurs lieux de stockage ?

Cet arrêté remet en cause certains choix gouvernementaux, par exemple pour le Data Hub Santé, avec le choix de Microsoft® Azure comme cloud, ou encore l’Oracle® Cloud pour la CNAM (Caisse Nationale d’Assurance Maladie) et l’APHP (L’usine Digitale), et pour finir avec le choix d’Amazon AWS pour la BPI. La remise en cause de ces choix, notamment par la mobilisation du numérique français (PlayFrance.Digital) devrait s’accélérer.

En conclusion

Le sujet de la souveraineté numérique par le biais de l’utilisation de nos données revient à la une de l’actualité. Cela a été permis en partie par l’obstination d’un citoyen européen, et je dois dire que nous lui devons une fière chandelle.

Il s’avère que notre RGPD est une véritable arme réglementaire qui nous permettra de rééquilibrer les positions européennes par rapport aux géants du numérique américain et même chinois. Nos décideurs finiront par comprendre qu’il existe nombre de solutions aussi performantes voire meilleures que leurs équivalents américains et qui limitent leur exposition aux risques légaux impliqués par le transfert de données.

Affaire, à suivre…

scroll to top