“Jamais deux sans trois”
Après plusieurs années d’attente, la Commission européenne a adopté ce 10 juillet 2023 une décision d’adéquation* qui permet de transférer de nouveau des données à caractère personnel depuis le territoire de l’Union européenne vers les Etats-Unis.
Si vous nous suivez depuis un moment, vous avez probablement pu lire nos articles précédents sur le sujet (et si ce n’est pas le cas, vous pouvez retrouver toutes nos publications ici). Vous le savez probablement, il ne s’agit ni de la première, ni de la deuxième mais bien de la troisième décision d’adéquation concernant les transferts de données vers les Etats-Unis.
Rafraîchissons-nous la mémoire :
- Le Safe Harbor fut la première décision d’adéquation concernant les transferts de données hors UE vers les Etats-Unis. Elle a été invalidée le 6 octobre 2015 par le Cour de justice de l’Union européenne qui a pu constater alors que la législation américaine permettait aux pouvoirs publics d’accéder de manière généralisée aux données de résidents de l’Union européenne.
- En 2016, le Privacy Shield, seconde décision d’adéquation, prend la suite avec notamment comme « promesse » le fait de réduire l’accès généralisé aux données… La décision est invalidée en 2020, de nouveau par la Cour de justice européenne qui constate une fois encore, que l’engagement précité n’est pas vraiment respecté.
Pour rappel, ces deux invalidations consécutives sont liées à l’action d’une personne : Mr. Maximillian Schrems, un activiste autrichien, militant pour la protection des données à caractère personnel et de la vie privée. La saga des jurisprudences Schrems a eu un réel impact sur l’encadrement des transferts hors UE.
Au-delà d’invalider deux décisions d’adéquation, elle a permis de remettre en question l’efficacité des clauses contractuelles types de la Commission européenne, outil permettant d’encadrer les transferts hors UE vers des Etats tiers ne bénéficiant pas de décision d’adéquation. On vous invite d’ailleurs à revoir la publication de la CNIL sur le sujet ici.
C’est donc trois ans après la dernière invalidation qu’arrive une troisième décision d’adéquation : que faut-il en retenir ?
Comme les deux précédentes, il s’agit d’une décision d’adéquation partielle.
Comme on vous l’a déjà présenté dans notre minute sur les décisions d’adéquation, il existe plusieurs formes de décisions d’adéquation :
- Des décisions permettant de couvrir un territoire entier (comme c’est le cas de la Suisse)
- Ou des décisions permettant de couvrir un secteur d’activités, ou uniquement certains organismes (comme c’est déjà le cas du Canda).
Pour les Etats-Unis, il s’agit d’une décision partielle. Seuls certains organismes pourront profiter de la « couverture » de cette décision. Cela implique qu’avant tout transfert de données vers les Etats-Unis, il vous faudra vérifier que l’organisme important les données est bien certifié. En effet, comme pour le Privacy Shield, un système d’auto-certification a d’ores et déjà été mis en place. Ce système implique que les organismes certifiés s’engagent annuellement et publiquement à adhérer à la nouvelle décision d’adéquation et à respecter l’ensemble des principes. Cela signifie plus concrètement que ces organismes s’engagent à suivre des garanties similaires à celles imposées par le RGPD.
Vous pouvez déjà consulter la liste des certifiés ici.
A l’inverse, cela signifie bien que pour les organismes non-certifiés, il faudra prévoir de mettre en place des garanties suffisantes au sens du RGPD (clauses contractuelles types, BCR, etc.) ou de s’appuyer sur les dérogations existantes.
Cette décision d’adéquation vous empêche-t-elle de continuer à utiliser vos BCR ou vos clauses contractuelles types ?
Non ! La CNIL le rappelle à juste titre dans sa première FAQ sur le sujet. La nouvelle décision n’invalide en rien l’utilisation de CCT ou de BCR. Pour vos contrats déjà en cours qui incluraient les CCT de la commission européenne, vous pouvez donc garder l’esprit tranquille. Le contenu des CCT ne va pas à l’encontre des garanties de la décision d’adéquation. Il en va de même pour les BCR qui auraient été mises en place au sein d’un groupe, elles resteront valables.
Quelle durée de vie pour la nouvelle décision d’adéquation ?
Les décisions d’adéquation n’ont pas à proprement parlé de durée de vie. Mais tout comme le Safe Harbor et le Privacy Shield, elles peuvent être abrogées.
De manière très similaire à ces ancêtres, la nouvelle décision sera réévaluée annuellement pour s’assurer de son effectivité. Vous pouvez donc déjà noter la date du 10 juillet 2024 comme date d’évaluation future de cette décision.
On vous encourage également à garder un œil sur l’actualité et notamment sur le fameux Maximillian Schrems, ou plus particulièrement sur l’activité de l’association NOYB. En effet, à peine la décision d’adéquation publiée que voici déjà l’association sur les starting blocks, prête à challenger la décision. L’association avait déjà manifesté son désaccord lors des discussions et premières publications concernant la nouvelle décision d’adéquation : elle considère qu’à peu de choses prêts, il s’agirait d’une copie du Privacy Shield et donc, d’une copie de tous ses défauts. On vous laisse découvrir leur article sur le sujet ici.
De notre côté, on va donc continuer à suivre le sujet et on vous dit à bientôt pour une prochaine publication !