CJUE dans l’affaire Schrems II (affaire C‑311/18) : Le Privacy Shield est nul, les clauses standard restent efficaces, l’exportateur a des obligations élevées

Autorité

CJCE

Secteur

Fournisseurs de cloud et d’informatique

Lois

RGPD 45, RGPD 46

Sur la nullité du Privacy Shield et ses conséquences

Abandon immédiat du Privacy Shield

Tout d’abord, le Privacy Shield : La CJCE déclare le Privacy Shield inefficace parce que

les exigences de la sécurité nationale, de l’intérêt public ou de l’application de la loi priment sur les principes du Privacy Shield (ch. 164 ss) et que les possibilités d’accès en vertu du droit américain vont trop loin, et
les personnes concernées ne disposent pas de voies de recours suffisantes ; le mécanisme de médiation est trop faible (points 186 et suivants).

Cette invalidité – nullité – existe expressément dès maintenant:

[202] Quant à la question de savoir si les effets de la présente décision doivent être maintenus afin d’éviter la création d’un vide juridique […], il convient de noter que compte tenu de l’article 49 du RGPD, l’annulation d’une décision d’adéquation telle que la décision DSS ne peut en tout état de cause créer un tel vide juridique. Cette disposition définit en effet clairement les conditions dans lesquelles les données à caractère personnel peuvent être transférées vers des pays tiers en l’absence d’une décision d’adéquation au sens de l’article 45, paragraphe 3, du RGPD ou de garanties appropriées au sens de son article 46.

Une liste des entreprises certifiées se trouve sur le site Liste du Privacy Shield.

Évaluation préliminaire de l’impact

L’arrêt de la CJCE n’est guère surprenant à cet égard. Il devrait notamment signifier ce qui suit :

Le Privacy Shield disparaît, tout comme l’accord Safe Harbor auparavant. Transferts de données vers des destinataires situés aux États-Unis, qui sont seulement se sont fondées sur le Privacy Shield sont irrecevables (tant les nouveaux transferts que les transferts antérieurs effectués sur cette base, si les données concernées sont toujours situées aux États-Unis ou toujours accessibles depuis les États-Unis).
Cependant, certains contrats avec des entreprises certifiées Privacy Shield prévoient que en outre, les clauses contractuelles types ou qu’elles s’appliquent eo ipso si le Privacy Shield devait tomber. Dans ce cas, le transfert peut continuer à être autorisé, mais ce n’est pas obligatoire (voir ci-dessous les clauses contractuelles types).
Certains contrats prévoient également uniquement l’obligation du destinataire certifié, de conclure des clauses contractuelles standardsi le Privacy Shield est supprimé. Dans ce cas, il faut donc conclure de nouvelles clauses contractuelles standard (ainsi que, le cas échéant, des accords supplémentaires, voir ci-dessous). Il en va de même si aucune disposition correspondante n’a été convenue avec le destinataire certifié.
Au moins lorsque des clauses contractuelles standard doivent être conclues à nouveau et que cela prendra vraisemblablement un certain temps, une Suspension des transmissions vérifiée être.
les destinataires qui se sont engagés contractuellement à respecter le Privacy Shield (ce qui arrive, parfois même de manière explicite, même lorsque le Privacy Shield n’est plus applicable) restent reste lié à celui-ci. S’il est vrai que, selon les conclusions de la CJCE, le Privacy Shield n’offrait déjà pas une sécurité suffisante, c’est mieux que rien. Dans ces cas, le remplacement par des clauses contractuelles types sera peut-être moins urgent.
Dans de tels cas, l’exportateur dispose en outre de l’argument selon lequel le Privacy Shield n’est certes pas efficace de manière générale, après la décision de la CJCE, qu’il est néanmoins suffisant dans le cas concret en raison de risques particulièrement faibles. Dans ce cas également, des clauses contractuelles types devraient être conclues, mais dans ce cas, il se peut que l’exportateur ne soit pas en infraction d’ici là.
Sans oublier Exceptions à l’interdiction de transfert dans des pays tiers conformément à l’article 49 du RGPD (p. ex. consentement explicite, exécution d’un contrat, défense de droits juridiques, etc.)

Ce qui fait que le CH/US Privacy Shield concerne

il est non formellement abrogé. Toutefois, le Privacy Shield a été reconnu par le fait que la liste des Etats du PFPDT au sens de l’art. 6, al. 1 LPD a été complétée en conséquence. La liste des Etats ne constitue toutefois qu’une présomption et non une fiction. Il est donc concevable – mais peu pertinent dans la pratique – qu’un transfert sur la base du Privacy Shield soit ou ait été contraire à la protection des données dès aujourd’hui ;
il sera sans doute bientôt levéLe PFPDT adaptera probablement la liste des Etats. Toutefois, le PFPDT doit ou devrait d’abord vérifier si la norme d’adéquation est la même que celle du RGPD.. Il convient de noter que la Charte des droits fondamentaux invoquée par la CJCE dans ce contexte ne s’applique évidemment pas à la Suisse. L’adéquation doit plutôt être évaluée selon le standard de la Convention du Conseil de l’Europe 108 d’évaluer la situation. D’un point de vue juridique, il n’est donc pas forcément obligatoire que le PFPDT parvienne à la même conclusion – même si, d’un point de vue pratique, c’est évidemment très probable.

Sur l’efficacité des clauses contractuelles types

Pas de nullité…

Les considérations relatives aux clauses contractuelles types ont davantage de potentiel de surprise – du moins si l’on met de côté les indications de l’avocat général. Les clauses contractuelles types sont toujours en vigueur.

… au prix d’exigences élevées

Toutefois, ces clauses sont appréciées de manière abstraite et non par rapport à un pays ou un territoire donné, de sorte qu’elles ne prennent pas en compte tous les risques possibles. Cela n’entraîne certes pas leur inefficacité, mais à l’inverse, elles ne doivent pas non plus être considérées comme exhaustives. Au contraire, le considérant 109 du RGPD précise que les responsables du traitement et les sous-traitants doivent même “devraient être “encouragés” à fournir des garanties supplémentaires par le biais d’obligations contractuelles complétant les clauses de sauvegarde standard.“

Le responsable du traitement ou le sous-traitant qui exporte des données a donc le droit de compléter les clauses si nécessaire. La CJUE s’attaque à ce point, mais n’en reste pas là.

Au contraire,

une évaluation des risques est nécessaire dans chaque cas particulier et
il peut y avoir une obligation de compléter les clauses types (points 133 et 134).

Cela signifie que

qu’il ne suffit pas de conclure sans réfléchir des clauses contractuelles standard (en cas d’exportations depuis la Suisse, peut-être en les adaptant aux spécificités helvétiques et en les signalant au PFPDT) et, pour le reste, de se fier à la reconnaissance de ces clauses comme garantie suffisante.
Au contraire, le responsable doit procéder à une évaluation des risques avant d’utiliser les clauses (où non seulement les risques liés au droit de l’État de destination peuvent être déterminants, mais aussi les risques de contrepartie, car si la partie destinataire n’est pas en mesure de coopérer dans une certaine mesure, les obligations de coopération prévues par les clauses deviennent vaines) et se demander si les clauses couvrent les risques spécifiques et, le cas échéant, les compléter dans la mesure du possible.
Dans la mesure où les risques spécifiques à l’étranger peut être contrée par d’autres accordsLes accords correspondants doivent être conclus avant le transfert. La CJCE est claire sur ce point :

[134] Comme l’a indiqué l’avocat général à cet égard au point 126 de ses conclusions, le mécanisme de protection des données prévu à l’article 46, paragraphe 2, sous b), du règlement général sur la protection des données repose sur le fait que les données à caractère personnel sont traitées dans le cadre d’un contrat. c du RGPD, que le responsable du traitement établi dans l’Union ou son sous-traitant établi dans l’Union et, en second lieu, l’autorité de contrôle compétente soient sensibilisés à leurs responsabilités. Par conséquent, il incombe en premier lieu à ce responsable du traitement ou à son sous-traitant de vérifier au cas par cas, le cas échéant en coopération avec le destinataire du transfert, si le droit du pays tiers de destination assure, conformément au droit de l’Union, une protection adéquate des données à caractère personnel transférées sur la base des clauses types de protection des données et, si nécessaire, d’offrir davantage de garanties que celles offertes par ces clauses.

Cela pose toutefois la question quels sont les risques qui peuvent être traités par contrat :

Les risques qui ont conduit à l’affaire du Privacy Shield sont des risques découlant du droit américain et, étant donné que les autorités publiques ne sont pas liées par des clauses standard, il n’est pas possible d’influer sur l’apparition de ces risques. Ils devront toutefois être évalués différemment en fonction de la sensibilité des données, de l’ampleur de leur transfert et de leurs modalités (par exemple, transfert physique des données vs accès au cas par cas, durée de stockage sur place, etc.
Il est toutefois possible, le cas échéant, de Atténuation de leurs effetsLa Commission a également mis en place un système de contrôle de l’accès aux données, par exemple en définissant une procédure de réaction du destinataire des données en cas de “demandes d’accès légitimes”. Dans ce cas, le Guide du cloud de l’Association des banquiers Indications.

Si la protection requise ne peut pas être garantie même avec des clauses supplémentaires, l’exportateur doit suspendre ou mettre fin à la transmission des données en conséquence (point 135) :

Si le responsable du traitement établi dans l’Union ou son sous-traitant établi dans l’Union ne peut pas prendre de mesures supplémentaires suffisantes pour assurer une telle protection, il doit – ou, en second lieu, l’autorité de contrôle compétente – prendre les mesures qui s’imposent. est tenu de suspendre ou de mettre fin au transfert de données à caractère personnel vers le pays tiers concerné. C’est notamment le cas lorsque le droit de ce pays tiers impose au destinataire de données à caractère personnel transférées depuis l’Union des obligations qui sont contraires aux clauses susmentionnées. et sont donc susceptibles de porter atteinte à la garantie contractuelle d’une protection adéquate contre l’accès à ces données par les autorités de ce pays tiers.

Un résumé de ces exigences se trouve aux nos 140 et suivants :

[140] La clause 5, sous a) et b), dans les deux cas qu’elle couvre, confère au responsable établi dans l’Union le droit de suspendre le transfert de données et/ou de résilier le contrat. Compte tenu des exigences découlant de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, point b). c du RGPD à la lumière des articles 7 et 8 de la Charte, le responsable est tenu de suspendre le transfert de données et/ou de résilier le contrat si le destinataire du transfert n’est pas ou plus en mesure de respecter les clauses standard de protection des données. Si le responsable du traitement ne le faisait pas, il violerait les obligations qui lui incombent en vertu de la clause 4, point a), de l’annexe de la décision CDS, interprétée à la lumière du RGPD et de la charte. [141] Ainsi, la clause 4, point a), et la clause 5, points a) et b), de la présente annexe obligent le responsable du traitement établi dans l’Union et le destinataire du transfert de données à caractère personnel, s’assurer, avant de transférer des données à caractère personnel vers un pays tiers, que la législation du pays tiers de destination l’autorise pour le destinatairede respecter les clauses standard de protection des données annexées à la décision de la CSD. […] [142] […] Le destinataire du transfert est, conformément à la clause 5, point b), de l’annexe de la décision CDS le cas échéant, être tenu d’informer le responsable de l’impossibilité de respecter ces clauses, à la suite de quoi le responsable doit suspendre la transmission des données et/ou résilier le contrat.

Il est sans doute trop tôt pour faire des prévisions, mais il est possible que l’arrêt Schrems II conduise à ce qui suit :

Les transferts de données vers des pays ne disposant pas d’une protection adéquate seront généralement géré plus prudemment. Jusqu’à présent, on pouvait déjà se demander si les contrats de transfert intra-groupe répandus, qui renvoyaient globalement aux clauses contractuelles types sans déterminer concrètement les transferts couverts, leurs parties et leur objet pour des transferts individuels, étaient encore admissibles. Maintenant, avec la consigne d’évaluer les risques au cas par cas, cette conclusion devrait être encore plus proche.
Les fournisseurs de l’EEE sont renforcés.
Sur Transfert de données, notamment vers les États-Unis se demande comment atténuer les risques d’accès des autorités que la CJCE dénonce. Toutefois, les États-Unis sont loin d’être le seul pays dont les autorités disposent de pouvoirs de surveillance et d’accès étendus. Les États-Unis sont sous les feux de la rampe en raison du Privacy Shield et, en fin de compte, de l’affaire Snowden, mais cela ne doit pas inciter à considérer tous les autres États comme inoffensifs.
Le site L’évaluation des risques lors de la transmission de données personnelles se rapproche de celle effectuée lors de la transmission de secrets protégés par la loipar exemple les données des clients des banques ou des patients. La transmission de données personnelles est donc plus complexe.
Le site Information des personnes concernées pour les transferts vers des pays tiers devient plus importante.
L’utilisation des clauses standard entraînera des changements Naturaliser les clauses supplémentairesLes États membres peuvent clarifier, renforcer ou compléter les obligations des clauses standard. Ils devront probablement commencer par les obligations de coopération de l’importateur.
Certains prestataires de services en dehors de l’Europe tenteront de démontrer par des négociations, des livres blancs, etc. que leur droit local ne contient pas de pouvoirs d’interventionIl n’y a pas de raison que les pouvoirs de la Commission soient en contradiction avec les clauses standard ou que de tels pouvoirs puissent être contrés par des clauses supplémentaires.
Les autorités de surveillance vont vérifier - après une période de transition – comment les entreprises évaluent et, le cas échéant, atténuent les risques lors du transfert vers des pays tiers.
Le site L’importance des données anonymes augmenteLa Commission européenne a décidé de mettre en place un système d’échange de données entre les États membres, y compris pour l’échange de données intra-groupe.

Quoi qu’il en soit, il sera intéressant de voir comment les clauses contractuelles standard seront adaptées ou complétées à l’avenir. Des travaux sont en cours à ce sujet dans le cadre de l’EDSA.

CJUE dans l’af­fai­re Schrems II (affai­re C‑311/18) : Le Pri­va­cy Shield est nul, les clau­ses stan­dard restent effi­caces, l’ex­porta­teur a des obli­ga­ti­ons élevées

Contenu

Sur la nul­li­té du Pri­va­cy Shield et ses conséquences

Aban­don immé­di­at du Pri­va­cy Shield

Éva­lua­ti­on pré­li­mi­n­aire de l’impact

Sur l’ef­fi­ca­ci­té des clau­ses con­trac­tu­el­les types