COMMUNAUTÉS & EXPERTISES — Expertises

Droit: ICT, GDPR et Immatériel

Sacré Max!



Elisabeth Guissart et Raymond Faber, Avocats à la Cour  –  É tude d’avocats /   c law   (Photo: c law)

Elisabeth Guissart et Raymond Faber, Avocats à la Cour  – É tude d’avocats / c law (Photo: c law)

Rien ne semble résister à ce jeune activiste autrichien, qui aime engager des procès contre FACEBOOK semblant pourtant «perdus d’avance». Pas avec Max!

C’est à deux reprises que Max Schrems, fervent défenseur des données personnelles, a réussi l’impensable. La première fois en 2015 en faisant invalider, dans un litige l’opposant à Facebook devant la Cour de Justice de l’Union Européenne (CJUE), les accords dits de «Safe Harbor», dont l’objet était d’encadrer les transferts de données personnelles de l’Union Européenne vers les États-Unis.

Suite à l’arrêt Schrems, de nouveaux accords très controversés ont été élaborés entre l’Union Européenne et les États-Unis («Privacy Shield» [1] ) pour assurer la légalité de ces transferts vers les États-Unis. Mais, bis repetita, il y a 3 mois, avec l’arrêt dit «SCHREMS II» [2] , ces accords ont été une fois de plus invalidés pour ne pas donner aux personnes concernées des garanties appropriées par un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union Européenne et pour ne pas garantir que les personnes concernées disposent de droits opposables et de voies de droit effectives, notamment, dans le cas des États-Unis, face à leurs services de renseignement extérieurs omnipuissants ou face aux autorités publiques américaines en général.

D’accord, et maintenant?

Si la CJUE dans sa décision n’interdit heureusement pas tout transfert de données hors Union Européenne, elle les lie pourtant à certaines conditions (ex: décision d’adéquation (cf infra), garanties appropriées (avec des «mesures supplémentaires» aux clauses contractuelles types (SCC))), dont toutes les caractéristiques ne sont pas claires à ce jour. Le European Data Protection Board (EDPD), rassemblant les autorités de protection des données nationales, travaille actuellement sur des lignes directrices pour aider les entreprises, d’abord, dans la compréhension de ce que peuvent être notamment des «mesures supplémentaires» et, ensuite, dans leur mise en place. Dans ce contexte, l’EDPD a aussi publié une FAQ [3] donnant d’intéressantes indications sur l’impact de l’arrêt SCHREMS II.

La solution la plus facile à pratiquer, en l’occurrence pour les transferts de données vers les États-Unis, serait sans doute que la Commission européenne décide par voie d’une décision d’adéquation [4] que ces derniers assurent un niveau de protection adéquat (à celui de l’Union Européenne). Or, la prise d’une telle décision n’est que théorique et serait politiquement plus que téméraire, la CJUE ayant constaté sans ambiguïté que, compte tenu de la législation des États-Unis, ce niveau de protection n’était actuellement pas donné. Or, on peut sérieusement douter que les États-Unis changeront d’approche pour faire plaisir aux Européens.

Quel impact sur le choix de mes prestataires, mon registre des traitements et mes notices d’information?

Un premier constat est que la responsabilité des transferts de données personnelles en dehors de l’Union Européenne repose dorénavant plus que jamais sur le responsable de traitement qui doit entourer ce transfert d’un nombre important de garanties contractuelles, organisationnelles et techniques.

Or, en revenant au cas des États-Unis, on a aujourd’hui beaucoup de mal à imaginer en quoi ces garanties pourraient être plus fortes que la volonté d’un État d’accéder à des données du monde entier collectées par ses ressortissants et de les utiliser à des fins de surveillance et de contrôle.

À défaut de lignes directrices européennes et nationales, les responsables de traitements (et les sous-traitants) n’auront, pour l’instant, pas d’autres choix, au cas où ils procèdent à ce jour à des transferts de données personnelles vers les États-Unis (ou des entreprises américaines), que de revoir en profondeur leurs registres, de changer, le cas échéant, de prestataire de services et d’adapter leurs notices d’information, en attendant de bétonner leurs contrats avec les mesures supplémentaires que l’EDPD aura définies.

Et dire que les entreprises pensaient être arrivées au bout du tunnel!

Merci Max?

Merci Max!

[1] Décision 2016/1250 relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis

[2] CJUE 16 juill. 2020, DPC c. Facebook Ireland Ltd et M. Schrems, aff. C-311/18

[3] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_fr.pdf

[4] https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_fr