Notre organisation européenne, DigitalEurope, a réalisé une enquête, à laquelle Syntec Numérique a participé, sur l’impact de l’arrêt Schrems II sur les activités commerciales des entreprises. Retour sur les conclusions de l'étude.  

Dans l’arrêt « Schrems II » rendu en juillet dernier, la Cour de justice de l’UE a invalidé le mécanisme d’auto-certification « Privacy Shield » qui permettait le transfert de données de l’Union européenne vers les Etats-Unis. En invalidant le « Privacy Shield », une grande insécurité juridique s’est installée, impliquant que les entreprises exportatrices évaluent elles-mêmes le niveau d’adéquation du pays tiers ne bénéficiant pas de décision d’adéquation valide. 

Notre organisation européenne, DigitalEurope, a réalisé une enquête, à laquelle Syntec Numérique a participé, sur l’impact de l’arrêt Schrems II sur les activités commerciales des entreprises. Réalisée du 26 octobre au 18 novembre, en collaboration avec les organisations européennes BusinessEurope, la Table ronde des industriels européens (ERT) et l’Association européenne des constructeurs automobiles (ACEA), elle a recueilli près de 300 réponses, provenant pour la plupart d’experts de la protection des données. Nous remercions tous les adhérents qui ont répondu à l’enquête.

L’enquête propose un aperçu de la manière dont les données personnelles sont transférées de l'Europe vers le reste du monde et fournit des estimations sur l'utilisation des clauses contractuelles types (CCT) par les entreprises.

Les principales conclusions de l'enquête :

  • Les clauses contractuelles types (CCT) restent l’outil le plus utilisé pour les transferts de données hors UE. Sur l'ensemble des entreprises interrogées, 85 % d'entre elles indiquent avoir recours aux CCT, contre 5% pour les autres mécanismes de transfert (décisions d'adéquation, règles d'entreprise contraignantes, dérogations). Seules 9 % des entreprises interrogées indiquent ne pas transférer de données hors UE.
  • Les entreprises, de toutes tailles et tous secteurs, sont concernées par le sujet.
    • Si les plus grands utilisateurs de CCT restent le secteur des technologies de l’information et de la communication (37% des répondants), la grande majorité des secteurs industriels dépendent des centres de traitement des données pour leurs transferts, l'industrie venant en deuxième position des utilisateurs de CCT (22%).
    • Les trois quarts des entreprises indiquent utiliser des CCT pour transférer des données à plus d'un pays non-membre de l'UE. A noter que 25 % des répondants semblent ne pas savoir qu'ils transfèrent des données en dehors de l'UE, très probablement par l'intermédiaire des CCT. Si les PME sont plus susceptibles de faire partie de ce groupe, près d'un quart des grandes entreprises sont également concernées. Ces résultats montrent un manque de compréhension assez répandu concernant les transferts de données personnelles et les obligations qui en découlent, ce qui peut exposer les entreprises à des sanctions au regard du RGPD.
  • La grande majorité des entreprises qui utilisent des centres de traitement des données (75 %) ont leur siège en Europe, les entreprises ayant leur siège aux États-Unis arrivant en deuxième position (13 %).
  • La plupart des entreprises qui utilisent les CCT sont des entités B2B (90 %).  Seuls 10 % des répondants sont des entreprises purement business-to-consumer (B2C).
  • Plus de la moitié des utilisateurs de CCT transfèrent des données à des partenaires commerciaux proches ou à des filiales hors UE qui en ont besoin pour leurs propres opérations (57 % utilisent des CCT de contrôleur à contrôleur), tandis que presque tous transfèrent des données afin d'externaliser des processus ou des services (92 % utilisent des CCT de contrôleur à contrôleur).
  • Les trois quarts des entreprises qui savent qu'elles utilisent des CCT transfèrent des données vers plus d'un pays non-membre de l'UE.  Presque tous les répondants indiquent transférer des données vers les États-Unis, mais six sur dix transfèrent des données vers l'Asie ou le Royaume-Uni.
  • Neuf entreprises sur dix qui ont réévalué leur utilisation des CCT pour se conformer à l'arrêt considèrent que le coût de cette opération est modéré ou élevé.  Seule la moitié des utilisateurs de CCT ont réévalué leur utilisation de ces outils.
  • 25 % des répondants semblent transférer des données en dehors de l'UE, très probablement par l'intermédiaire de CCT, mais n'en ont pas connaissance. Cela montre notamment que de nombreuses entreprises ne sont pas du tout préparées à se conformer à l'arrêt.