La cour de justice européenne vient d'annoncer que l'accord Privacy Shield (le bouclier de protection des données entre l'UE et les États-Unis) est désormais caduque bouleversant ainsi les transferts entre l'Europe et les Etats-Unis. La cour a en effet jugé que les outils de surveillance déployés aux Etats-Unis n'étaient pas compatibles avec la protection des données personnelles garantie aux Européens par le RGPD. Cette décision va rebattre les cartes desrelations entre les entreprises du numérique et leurs clients.
L'export des données à caractère personnel (DCP) hors UE n'est possible que si l'on respecte certaines règles, permettant de garantir un niveau de sécurité adéquat pour les DCP. Notamment, l'export est possible vers des pays hors UE qui sont reconnus comme présentant des garanties équivalentes aux nôtres comme par exemple la Suisse. Les USA n'en font pas partie.
Le Privacy Shield et les « clauses contractuelles de l'UE » étaient les 2 principales solutions permettant à un prestataire US d'exporter les DCP de ses clients européens, vers les USA. Aujourd'hui, il ne reste donc plus que les clauses contractuelles de l'UE pour rendre l'export vers les US légal.
Concrètement, il est important pour les entreprises de :
- Vérifier s'ils ont des prestataires US qui exportent des données et demander des engagements concrets et écrits sur la localisation des données.
- S'assurer que si les contrats avec ces prestataires contiennent les clauses contractuelles de l'UE, le Privacy Shield n'étant plus applicable.
- Si ce n'est pas le cas, il est important de réclamer sans délai un avenant à leur contrat de prestation, incluant les clauses contractuelles de l'UE, soit changer pour un prestataire européen.
- Ensuite, il est important de rappeler qu'il faut de vérifier si le prestataire est soumis à des lois US telles que le Cloud Act.
- Enfin, une autre règle importante : la personne concernée par l'export de ses DCP doit en être avertie préalablement (la fameuse mention CNIL doit le préciser). Le non-respect de ces principes du RGPD font encourir les sanctions prévues par le RGPD (jusqu'à 4% du CA groupe monde ou 20 M€).