Le privacy shield est mort. Ce que ça change pour votre entreprise

Parfois des décisions de la Cour de Justice Européenne ont plus d’importance sur les entreprises que d’autres. Cette dernière a rendu une décision qui va impacter durablement les entreprises européennes qui ne s’en rendent probablement pas encore compte.

La Cour a non seulement annulé le Privacy Shield, qui autorisait les transferts de données personnelles entre l’Europe et les USA, mais son arrêt peut même annoncer la fin, temporaire en tout cas, des transferts de données entre l’Europe et les USA. Regardons les conséquences pratiques de cette décision.

Les conséquences pratiques pour les sociétés européennes et belges

1. Le privacy Shield est mort. Et donc il n’est plus possible de transférer des données personnelles vers des sociétés américaines en vertu de cette règlementation qui a été annulée et qui était à la base de tous les contrats avec les hébergeurs de Cloud et autres solutions d’emailing et de gestion des clients. Mais la règlementation prévoyait pour les pays non européens des clauses contractuelles type.

2. Les clauses contractuelles en soins palliatifs. Ces clauses proposées par la Commission Européenne pour les pays tiers ne peuvent être appliquées en l’espèce malgré le fait que certaines sociétés américaines se sont engouffrées dans ce qu’elles croyaient être un recours. Les conditions pour qu’elles soient appliquées ne sont pas présentes pour les USA ce qui d’ailleurs la raison de l’arrêt du Privacy Shield. En effet, les possibilités offertes par la loi américaines aux autorités d’avoir accès aux données ne permettent pas, comme elles ne le permettent pas dans des Etats non démocratiques, d’utiliser ces clauses pour transférer des données personnelles vers les USA. Oui, mais si la personne est d’accord ?

3. Le consentement est impossible ! En théorie il pourrait être utilisé, mais, par exemple dans un cadre de relation employeur employé, le consentement n’est pas libre. Et pour les autres cas comment expliquer les finalités des traitements de données par les autorités américaines, et donc respecter le principe de transparence obligatoire en vertu du RGPD alors que nous ne savons pas quels seraient ces traitements de données effectués par les autorités américaines. Et si on cryptait toutes les données ?

4. Le cryptage des données n’est pas une solution sure. Il faudra faire très attention si l’on se lance dans cette solution, et notamment du fait que les autorités américaines gardent leurs droits de surveillance. Le cryptage devrait être inviolable et que les autorités américaines ne pourraient pas obtenir les clés de cryptage… Difficile à croire. Et chacun sait que la sécurité absolue n’existe même pas en théorie. Mais ces acteurs sont des sous-traitants au sens du RGPD, nous avons même signé des contrats spécifiques.

5. Les sociétés américaines ne peuvent plus être des sous-traitants au sens du RGPD, car elles ne pourraient pas s’engager à le respecter le RGPD du fait des lois américaines, et donc nous ne pouvons plus les choisir en tant que sous-traitants.

Quelles sont les conséquences pratiques ?

1. Les entreprises doivent arrêter tout transfert de données vers des sociétés américaines.

2. Nous n’avons pas en Europe des équivalents à tous les fournisseurs de services américains

3. Une charge de travail considérable se retrouve sur les épaules des entreprises et de leurs DPO sans que les autorités européennes ou nationales ne puisse aujourd’hui leur proposer de solution pratique

4. Les autorités américaines vont-elles adoucir leurs règles de sécurité et de contrôle? On peut en douter. Mais là-bas comme ici un équilibre entre sécurité et vie privée est indispensable.

5. Il reste, et c’est un point technique, les dérogations de l’article 49, qui pourraient être utilisées mais il me semble qu’un avis des autorités de contrôle s’impose pour utiliser cet article.

Conclusion

Bref, c’est un peu le chaos pour le moment et on peut espérer que les autorités ne prendront pas de sanctions dans la période transitoire et notre autorité belge, l’Autorité de Protection des Données prendra position dans ce délicat dossier.

Mon conseil: analysez immédiatement tous vos contrats avec votre DPO ou conseil en RGPD pour ce qui concerne les transferts de données vers des sociétés américaines.