[Invalidation du Privacy Shield] La définition d’un cadre juridique clair devient urgente pour les entreprises

La décision d'adéquation « Privacy Shield » adoptée par la Commission européenne en 2016, certifiait que les États-Unis disposaient de normes de protection des données adéquates (c’est-à-dire essentiellement équivalentes au niveau de protection garanti selon le RGPD), pour le stockage et le traitement des données personnelles en provenance de l'UE. Tout transfert de données entre l’UE et des opérateurs américains reposait donc sur cette décision d’adéquation et était réalisé sans autre formalité.

La CJUE a constaté dans sa décision « Shrems II » que le niveau de protection garanti n’était plus suffisant, rappelant ainsi le nécessaire haut niveau d’exigence en matière de protection des données des citoyens et des acteurs économiques. Ce faisant, la décision de la CJUE implique un réexamen des régimes de la donnée vis-à-vis des pays tiers. Elle a également précisé que les Clauses Contractuelles Types (CCT), approuvées par la Commission européenne et listées par le RGPD comme un mécanisme valable de transfert hors UE des données, restent valables, mais qu’il s’avère nécessaire d’y ajouter des garanties supplémentaires pour assurer un niveau de protection adéquat aux données transférées dans des pays ne fournissant pas de protection essentiellement équivalente à celle qui est garantie au sein de l’Union européenne. La CJUE exige ainsi désormais que les entreprises exportatrices évaluent elles-mêmes le niveau d’adéquation du pays tiers ne bénéficiant pas de décision d’adéquation valide, en tenant compte des lois du pays où se situe l’importateur, et les contraint de facto à interpréter elles-mêmes les normes existantes au cas par cas.

Cette invalidation du « Privacy Shield » a suscité de vives inquiétudes de la part des différents secteurs économiques, et notamment celui du numérique, quant à l’impact immédiat de la décision de la CJUE sur les échanges économiques mais aussi sociaux et scientifiques. Il semble essentiel d’insister sur le caractère trans-sectoriel et général de l’effet de l’invalidation du « Privacy Shield » pour l’économie, qui concerne directement un grand nombre d’entreprises, tous secteurs et tailles confondus, européennes ou internationales, ainsi que les administrations publiques, qui peuvent être amenées à transférer leurs données en dehors de l’Union Européenne. Outre le surcroît conséquent de travail engagé faute de cadre prédéfini, ce manque de visibilité et de cadre juridique protecteur stabilisé représente un véritable frein à l’activité économique d’autant plus préoccupant qu’il s’ajoute au contexte actuel éprouvant pour les entreprises, qui tentent de se remettre des répercussions économiques de la première vague de la pandémie de COVID-19, et sont confrontées aujourd’hui à la deuxième.    

Il est ainsi fondamental de faciliter la poursuite de l’activité économique des entreprises et de faciliter l’innovation européenne reposant sur la libre circulation des données d’origine européenne, ce qui doit passer par la définition urgente d’un cadre juridique sûr et respectueux des valeurs de l’Union Européenne pour les transferts internationaux.

TECH IN France, conscient de l’ampleur de cette décision et de son impact majeur sur l’économie et l’innovation européennes, a souhaité accompagner ses adhérents dans l’adaptation de leurs activités et de leurs pratiques de transfert de données. Un webinaire juridique destiné à identifier et mesurer les conséquences pour les transferts de données vers les Etats-Unis a été organisé ; webinaire au cours duquel Maître Mariez du cabinet Momentum, a pu analyser la décision de la CJUE, répondre aux interrogations des entreprises et partager des recommandations d’experts.

La mobilisation active de TECH IN France au sujet de l’insécurité juridique créée par la décision « Shrems II » et de la nécessité de ne pas laisser le secteur privé demeurer plus longtemps dans l’incertitude, s’est également traduite par des prises de positions publiques avec les autres organisations professionnelles du secteur. Elles visaient à alerter les autorités nationales et européennes sur les craintes des entreprises et appelaient à la définition urgente d’un cadre juridique protecteur stabilisé en matière de transfert de données vers les Etats-Unis. En tant qu’organisation professionnelle, TECH IN France a ainsi encouragé depuis maintenant plusieurs mois la mise en place de mesures transitoires, attendues de la part des autorités nationales et européennes. Les analyses et recommandations sur la nature et la mise en œuvre des garanties complémentaires pouvant accompagner l’utilisation des CCT, ainsi que sur les dérogations, toujours en cours d’établissement, doivent être définies et publiées de manière urgente. Tout comme il est essentiel que les recommandations des autorités de protection des données interviennent et qu’elles soient précises, opérationnelles et adaptées au niveau de risque présenté par différents transferts, en fonction de facteurs tels que le type de données, le but du transfert ou encore le rôle de l’entreprise.

Près de 4 mois après la décision de la CJUE, les institutions européennes commencent à s’organiser, notamment en matière de transferts de données personnelles hors UE réalisées par les institutions et organismes publics européens, ou soumettent à consultation leurs recommandations ou leurs clauses contractuelles types mises à jour ; consultations auxquelles TECH IN France travaille actuellement à répondre.