11/08/2020

Privacy Shield: Que faire pour les transferts de données personnelles aux Etats-Unis ?

La Cour de justice de l'Union Europeenne (« CJUE ») a publié le 16 juillet 2020 son jugement dans la cause « Schrems II », par lequel elle invalide le EU-U.S. Privacy Shield lié aux transferts de données personnelles entre l'UE et les Etats-Unis. Fondée sur le droit européen (RGPD), cette décision aura également des conséquences en Suisse, où un système similaire existe. Ce jugement ouvre une nouvelle période d'incertitudes dans le contexte des transferts internationaux de données personnelles, avec une responsabilité accrue des responsables du traitement.

De: David Raedler  ImprimerPartager 

David Raedler, Avocat, docteur en droit

Spécialisé en droit du travail et en protection des données, il s’intéresse tout particulièrement à la thématique des nouvelles technologies appliquées aux rapports de travail. Après l’obtention de son brevet d’avocat, il s’est consacré à la rédaction d’une thèse de doctorat à l’Université de Lausanne sur les enquêtes internes. Il est également Vice-président du Tribunal de prud’hommes de la Broye et du Nord vaudois.

Privacy Shield

La fin du Privacy Shield

Jusqu'au jugement de la CJUE du 16 juillet 2020, les transferts de données personnelles depuis l'UE (et la Suisse) aux Etats-Unis pouvaient reposer sur le Bouclier de protection des données (« Privacy Shield »). Conçu comme un accord-cadre visant à régler les échanges transatlantiques de données personnelles pour des buts commerciaux, il avait remplacé le « Safe Harbour » invalidé par la CJUE en 2015.

En résumé, le Privacy Shield inclut des engagements de la part du gouvernement des Etats-Unis pour assurer un niveau similaire de protection aux données personnelles transférées depuis l'UE aux Etats-Unis, avec un mécanisme de contrôle limité. Les entités basées aux Etats-Unis pouvaient s'inscrire au système mis en place dans ce cadre et garantir qu'elles respectaient les principes prévus. A cette condition, les transferts de données personnelles aux entités inscrites pouvaient intervenir sans autre formalités.

Négocié entre les autorités de l'UE et des Etats-Unis, le système du Privacy Shield a été repris entre la Suisse et les Etats-Unis, avec des règles et modalités identiques.

Par son jugement, la CJUE a mis un terme clair au système entre l'UE et les Etats-Unis, en retenant qu'il n'offrait pas une protection suffisante pour les transferts de donn8es personnelles - et, de ce fait, ne permettait pas de respecter les exigences du RGPD.

Ce jugement s'applique formellement uniquement au Privacy Shield entre l'UE et les Etats-Unis, et n'invalide pas per se le Privacy Shield entre la Suisse et les Etats-Unis. Malgré l‘absence de réaction du Prépose fédéral ä la protection des données et du Conseil f8d8ral (en tout cas pour ('heure), le Privacy Shield entre la Suisse et les Etats-Unis n'est plus fiable et tout tribunal suisse arriverait aux mêmes conclusions que la CJUE.

La validait (temporaire ?) des Clauses contractuelles types

Au contraire de ce qui a été retenu pour le Privacy Shield, la CJUE a confirmé que les Clauses contractuelles types (« SCCs ») demeuraient valables sous le régime du RGPD.

Pour rappel, des SCCs signées par l'exportateur et l‘importateur des données personnelles imposent contractuellement des obligations dans le but là d'assurer un niveau de protection suffisant. Constituant un outil central dans les transferts internationaux de données personnelles, les SCCs existent tant en droit européen que suisse, avec des contenus très similaires.

La CJUE a souligné que l'exportateur des données personnelles ne peut pas uniquement se reposer sur le fait que l'importateur des données personnelles a signé des SCCs, mais il doit s'assurer qu'il les respecte et qu'aucune obligation légale n'emporte sur leur contenu. Sinon, d'« autres mesures » devraient être prises par l'exportateur des données personnelles. Ceci est le cas pour les Etats-Unis selon la CJUE.

Les avis divergent en doctrine et au sein des autorités de protection des données. Certains interprètent le jugement dans le sens où les SCCs pourraient tout de même permettre des transferts aux Etats-Unis dans des cas limités. Au contraire, d'autres considèrent comme nous que le jugement est clair et qu'il y a de réels risques ä continuer de se reposer sur les SCCs pour les Etats-Unis ainsi que d'autres Etats ayant un niveau de surveillance élevé.

Que faire maintenant ?

La décision de la CJUE amène à la fois une certaine clarification et de nouvelles questions sur les transferts internationaux de données. II n'y a pas de délai de période de grâce, mais il n'y a pas non plus de raison de paniquer et prendre des mesures radicales avant que les autorités de protection des données ne clarifient leur position. Dans l'ensemble, et à ce stade, tout responsable du traitement devrait :

  1. ldentifier les transferts internationaux de donne.es  personnelles, en particulier ceux destinés aux Etats-Unis et voir comment ils se justifient. Une appréciation claire et documentée est requise, considérant que des actions rapides pourraient être nécessaires dans les semaines ä venir.
  2. Arrêter d'utiliser le UE-U.S. Privacy Shield et appliquer d'autres justifications au sens de l'art. 49 RGPD, y compris le consentement spécifique et explicite de la personne concernée. Pour les responsables du traitement qui ne sont pas soumis au RGPD, nous conseillons déjà aujourd'hui de ne plus se reposer sur le Privacy Shield entre la Suisse et les Etats-Unis. D'autres justifications sont possibles en application de l'art. 6 al. 2 de la Loi fédérale sur la protection des données.
  3. Evaluer l'utilisation des SCCs. Nous recommandons de ne plus signer de SCCs pour des transferts aux Etats-Unis ou vers tout autre pays qui aurait une importante activité de surveillance. Ceci en particulier pour des transferts ä des sociétés américaines qui sont sujettes à la Section 702 du FISA et E.O. 12333. Des exceptions peuvent être considérés au cas par cas. Pour des transferts bas8s sur des SCCs existantes, nous recommandons d'analyser d'autres justifications possibles. En leur absence, il serait sage d'attendre la position des autorités de protection des données avant d'arrêter tout transfert - ou de demander des garanties supplémentaires ä l'importateur des données personnelles. Toutefois, plus les données sont sensibles, moins il se justifie d'attendre.
  4. Rester au courant des évolutions dans la mesure où ceci n'est pas fini. De nouvelles SCCs sont attendues (déjà depuis un certain temps), la Commission européenne pourrait vouloir négocier un remplacement au Privacy Shield et la d8cision d'adéquation concernant la Suisse devrait être rendue cet automne.

Résumé

Sans bloquer tout transfert de données personnelles entre la Suisse ou l'UE/EEA vers les Etats-Unis, le jugement de la CJUE apporte des limites importantes ä connaitre. Le Privacy Shield n'est, dès maintenant, plus une option et les SCCs présentent des risques significatifs. II n'est plus possible pour l'exportateur des données personnelles de se cacher derrière la signature des SCCs : il doit vérifier leur respect par l'importateur. Le recours aux SCCs doit être revu pour d'autres pays également et en cas de doute, des garanties supplémentaires devront être obtenues par l'exportateur des données personnelles - y compris, si nécessaire, en obtenant le consentement explicite et spécifique de la personne concernée.

Recommandation séminaire

Séminaire pratique, 1 jour, Hôtel Alpha Palmiers, Lausanne

La protection des données au travail et le dossier du personnel

Le point sur la RGPD, LPD et les dossiers RH électroniques

Prochaine date: 08. octobre 2020

plus d'infos

Recommandations produits

  • WEKA Modèles de contrats en ligne

    WEKA Modèles de contrats en ligne

    Gagnez en assurance avec des modèles adaptés à vos besoins.

    à partir de CHF 248.00

  • Newsletter Ressources Humaines

    Newsletter Ressources Humaines

    Actualité pratique et stratégie des Ressources Humaines

    Plus d’infos

  • Manager de certificats de travail

    Manager de certificats de travail

    Etablir un certificat de travail n’a jamais été aussi simple.

    Plus d’infos

Recommandations de séminaire

  • Programme modulaire, 1 jour, Hôtel Alpha Palmiers, Lausanne

    Formation certifiante WEKA Expert en droit du travail

    Prochaine date: 05. novembre 2020

    plus d'infos

  • Workshop pratique, 1 jour, Hôtel Alpha Palmiers, Lausanne

    Workshop Situations critiques au travail

    Avertissement, licenciement, faute grave, mobbing et maladie

    Prochaine date: 08. octobre 2020

    plus d'infos

  • Workshop pratique, 1 jour, Hôtel Alpha Palmiers, Lausanne

    Workshop Contrat de travail et règlement du personnel

    Rédaction et maîtrise des risques

    Prochaine date: 05. novembre 2020

    plus d'infos

Nous utilisons des cookies pour améliorer continuellement notre site web. En utilisant ce site web, vous acceptez l’utilisation de cookies. Plus d’infos