Newsletter édition spéciale “Privacy Shield”

Chaque trimestre, Extern DPO vous envoie sa lettre d’informations.

Une édition spéciale s’impose au regard des bouleversements induits par l’invalidation du mécanisme qui autorisait jusqu’à présent le transfert de données vers les Etats-Unis : le Privacy Shield. Face aux interrogations soulevées, nous espérons que ce numéro saura vous apporter quelques éclaircissements…

Bonne lecture !

 

Rappel sur le transfert de données hors UE

Les transferts de données hors UE sont par principe interdits.

Quatre exceptions à cette interdiction étaient jusqu’ici prévues :

– Soit le pays vers lequel sont transférées les données est un pays ayant fait l’objet d’une décision d’adéquation ;

– Soit des clauses contractuelles types sont signées entre le responsable de traitement et le sous-traitant établi hors UE ou traitant/hébergeant les données qui lui sont transférées hors UE ;

– Soit des BCR (binding corporate rules) sont conclues entre les différentes entités d’un même groupe d’entreprises, si certaines d’entre elles sont établies hors UE ;

– Soit, enfin, les données étaient transférées vers un organisme établi aux Etats-Unis, qui avait adhéré au « Privacy Shield ».

Ce dernier outil ayant été invalidé par la Cour de Justice de l’Union Européenne (CJUE) dans une décision du 16 juillet 2020, seules les 3 premières exceptions citées subsistent, mais même ces dernières doivent être nuancées…

Pour plus d’informations, vous pouvez consulter le résumé de l’arrêt rendu par la CJUE 
Qu’est-ce que le Privacy Shield ?

Le Privacy Shield est un bouclier de protection des données fictif reposant sur un mécanisme d’auto-certification des entreprises américaines, reconnu par la Commission Européenne comme offrant un niveau de protection adéquat.

Cet accord entre les Etats-Unis et l’Europe permettait le transfert de données entre des organismes établis au sein de l’UE et des organismes établis aux Etats-Unis.

Conséquence directe de l’invalidation du Privacy Shield

Dans son arrêt rendu le 16 juillet 2020, la Cour de Justice de l’Union Européenne a invalidé le mécanisme du Privacy Shield.

Cela signifie que tout transfert de données vers les USA mis en oeuvre par votre entreprise qui reposait sur le Privacy Shield est désormais illicite. 

Des mesures s’imposent…

QUELQUES QUESTIONS/REPONSES 

POUR MIEUX COMPRENDRE L’IMPACT DE L’INVALIDATION

De quel délai mon entreprise dispose-t-elle pour se mettre en conformité ?

AUCUN

La décision d’invalidation du Privacy Shield est d’application immédiate.

Toute entreprise qui continuerait à transférer des données à caractère personnel vers les Etats-Unis sur cette seule base pourrait se voir sanctionnée.

Puis-je transférer de manière licite des données pseudonymisées vers les Etats-Unis ?

NON

Cela pourrait éventuellement faire partie des “mesures supplémentaires” que le CEPD* vous appelle à mettre en oeuvre.

En revanche, ce procédé ne saurait, à lui seul, se substituer au Privacy Shield rendant ainsi le transfert licite.

*Comité Européen à la Protection des Données

Suis-je concerné si je ne transfère aucune donnée sensible vers les Etats-Unis ?

OUI

L’invalidation du Privacy Shield est indépendante du degré de sensibilité ou de confidentialité des données transférées.

Ainsi, même si les seules données transférées sont le nom et le prénom des personnes, les modalités de ce transfert doivent être revues.

Notez par ailleurs que la décision rendue par la CJUE impacte de manière évidente les transferts de données à caractère personnel à destination des Etats-Unis, mais également les transferts à destination de tout pays tiers à l’Espace Economique Européen

Extern DPO :

Un consultant 

certifié AFNOR

+

Un consultant 

certifié  CNAM

Nos conseils :

1/ La première étape consiste à recenser, parmi les traitements de données que vous mettez en oeuvre, l’ensemble de ceux pour lesquels des données sont transférées ou rendues accessibles par un organisme établi en dehors de l’UE

2/ En second lieu, il convient de vérifier si le pays destinataire des données, s’il est établi hors UE, bénéficie d’une décision d’adéquation.

Vous pouvez pour cela vous aider de cette carte

3/ A défaut de décision d’adéquation, une étude du contenu des relations contractuelles avec vos prestataires est essentielle pour savoir si certaines mesures sont déjà mises en oeuvre

4/ Si aucune mesure satisfaisante n’a à ce jour été mise en place, vous devez au plus vite entamer une démarche en vue de satisfaire à la “recette conformité” que nous vous proposons ci-dessous

Ces démarches sont évidemment particulièrement contraignantes pour les entreprises. Elles sont néanmoins essentielles à leur conformité.

Afin d’éviter tout risque, une solution alternative consisterait désormais à ne recourir qu’à des entreprises de services et d’hébergement établies en Europe

 

La recette conformité :

Les ingrédients du Comité Européen à la Protection des Données

Un contrat de sous-traitance comportant les éléments requis par le RGPD

+

Des clauses contractuelles types pour tout transfert vers un pays tiers à l’UE

ou

Des Binding Corporate Rules” si l’entité établie hors UE destinataire des données appartient au même groupe d’entreprises que l’entité qui les lui transfère

+

Des mesures supplémentaires, qui peuvent être juridiques, organisationnelles, ou techniques (pseudonymisation des données par exemple)

+

Une évaluation tenant compte des circonstances du transfert de données, notamment une analyse de la législation du pays vers lequel les données sont transférées

L’invalidation du Privacy Shield peut être source de bouleversements pour votre organisme. La particularité de la relation entretenue avec chaque prestataire nécessite, après étude de celle-ci, la mise en oeuvre de démarches spécifiques.

Extern DPO vous accompagne dans cette analyse, afin d’identifier les solutions qui s’offrent à vous. N’hésitez pas à nous solliciter.