POLITIQUE & INSTITUTIONS — Europe

Protection des données

Arrêt Schrems: un flou juridique à lever



Le régulateur européen de la donnée devrait publier de nouvelles lignes directrices afin que les entreprises et organisations puissent savoir dans quelles conditions continuer à partager des données avec des entités américaines. (Photo: Shutterstock)

Le régulateur européen de la donnée devrait publier de nouvelles lignes directrices afin que les entreprises et organisations puissent savoir dans quelles conditions continuer à partager des données avec des entités américaines. (Photo: Shutterstock)

L’arrêt Schrems, publié la semaine dernière par la Cour de justice de l’Union européenne, va forcément impliquer de nouvelles discussions entre Européens et Américains. L’European Data Protection Board devrait publier des lignes de conduite pour les entreprises, que la CNPD recommande de suivre.

Que faire lorsqu’on est une entreprise, luxembourgeoise et européenne, et qu’on est confronté à des transferts de données vers des opérateurs américains alors que la Cour de justice de l’Union européenne (CJUE) a reconnu que les standards américains ne correspondaient pas au Règlement européen sur la protection des données (RGPD)?

Attendre.

L’European Data Protection Board (EDPB), le régulateur européen de la donnée, a indiqué qu’il allait étudier les conséquences de l’arrêt Schrems avant de publier des lignes de conduite pour les entreprises européennes.

«L’EDPB a identifié par le passé certaines des principales failles du bouclier de protection des données sur lesquelles la CJUE fonde sa décision de le déclarer invalide», explique-t-il dans une prise de position .

«Si les clauses contractuelles types (SCC, pour «standard contractual clauses», ndlr) restent valables», note l’EDPB, «la CJUE souligne la nécessité de veiller à ce que ceux-ci maintiennent, dans la pratique, un niveau de protection essentiellement équivalent à celui garanti par le RGPD à la lumière de la Charte de l’UE. L’évaluation de la question de savoir si les pays auxquels les données sont envoyées offrent une protection adéquate relève principalement de la responsabilité de l’exportateur et de l’importateur, lorsqu’ils envisagent d’entrer dans des SCC. Lors de cette évaluation préalable, l’exportateur (si nécessaire, avec l’assistance de l’importateur) prendra en considération le contenu des SCC, les circonstances spécifiques du transfert, ainsi que le régime juridique applicable dans le pays de l’importateur. L’examen de ce dernier doit être effectué à la lumière des facteurs non exhaustifs énoncés à l’article 45, paragraphe 2, du RGPD.»

L’exportateur, dit encore cet avis, autrement dit la société européenne, devra probablement prendre des mesures supplémentaires, que l’EDPB doit définir au niveau européen pour veiller à une harmonisation de la position, tandis que certains régulateurs, comme la Suède, a déjà adopté certains principes.

Contactée par Paperjam, la Commission nationale pour la protection des données (CNPD) explique via sa présidente, Tine Larsen , que «la CNPD travaille étroitement avec ses homologues de l’UE pour que des lignes directrices supplémentaires soient fournies aux organisations et aux entreprises».

En fin d’année dernière, l’ EDPB avait publié un certain nombre de critiques , reconnaissant toutefois au Département américain du commerce et à la Commission fédérale du commerce certains gestes de bonne volonté.

Sans attendre les nouvelles lignes directrices, l’Autrichien Max Schrems, qui avait saisi la CJUE, et le Centre européen pour les droits numériques ont publié cette semaine une série de documents types pour demander des garanties aux interlocuteurs américains des entreprises.