Le « risque RGPD » pour les entreprises qui ne respecteraient pas l’annulation du Privacy Shield ? 4 % du chiffre d’affaire mondial (du dernier exercice fiscal…).

Autre sanction possible : l’interruption du flux de données depuis l’UE vers les USA !

Depuis 2015, les professionnels m’expliquent qu’une telle sanction n’est pas techniquement possible…

Reste alors aux autorités de contrôle la sanction pécuniaire du non-respect de cette interdiction technique : le risque est (encore) de 4 % du chiffre d’affaires mondial du contrevenant.

Sur le papier, le risque est lourd. Reste aux autorités de contrôle à imposer ces sanctions (en clair, à procéder à des contrôles).

Apparemment, les autorités de contrôle regroupées au sein du European Board of Data Protection (EBDP) y réfléchissent depuis le 17 juillet 2020 (voir « Invalidation du « Privacy shield » : la CNIL et ses homologues analysent actuellement ses conséquences » sur le site web de la CNIL depuis le 17 juillet 2020).

Maintenant, vous avez la synthèse.

Vous voulez les détails bien juridiques ?

L’annulation du Privacy Shield en 2020 : remember l’annulation du Safe Harbor en 2015 ?

Depuis la Directive « data protection » n°95/46 du 24 octobre 1995, il n’était pas possible d’exporter des données personnelles » depuis l’UE vers les USA.

Pas possible sauf… si l’importateur US (au hasard, un GAFAM) avait adhéré au programme dit « Safe Harbor » adopté le 26 juillet 2000.

Ou sauf… si l’importateur US avait signé avec son exportateur dans l’UE des clauses contractuelles type (selon le modele obligatoire de l’UE).

Mais voila, suite à un recours de M. Max Schrems, la CJUE avait annulé ce « Safe Harbor » (scandaleux) le 6 octobre 20015.

Cette annulation était tout à fait justifiée en droit (cliquez sur ce lien pour accéder à mon post de blog du 7 octobre 2015).

Il fallait d’urgence « boucher » le vide juridique pour permettre au business de la data de se poursuivre (au profit de nos amis américains exclusivement, bien entendu).

L’adoption (à la va-vite) du Privacy Shield le 12 juillet 2016

Je m’en souviens très bien, j’étais au bord d’une piscine en Dordogne le jour de la publication de ce torchon cet accord entre l’UE et les USA.

Texte fleuve, illisible, prévoyant tellement de voies de recours que cela en était (plus que) suspect.

Même l’adoption de ce traité « UE-USA » avait été réalisée dans des conditions d’opacité très critiquées à l’époque.

Les recours en annulation du Privacy Shield devant la CJUE  ont démarré dès fin 2016 (voir mon post de blog en BD de septembre 2016).

Ce que pensaient du Privacy Shield les juristes sérieux/ses et soucieux/ses des libertés numériques des européens ? En une slide ?

Le cadre juridique des transferts de données personnelles hors UE selon le RGPD

L’invalidation d’une des modalités de transfert des données personnelles hors de l’UE est l’occasion de réviser l’ensemble des mécanismes juridiques offerts par le RGPD.

Parmi ces 6 modalités, citons principalement (i) les décisions d’adéquation de l’Union Européenne (dont le Privacy Shield était  le seul accord « sectoriel ») et (ii) les « garanties appropriées » (par exemple, les clauses contractuelles type).

Rappelons qu’un transfert de données hors UE vers un pays offrant un « niveau de protection adéquat » peut être opéré par un exportateur européen « sans qu’il soit nécessaire d’obtenir une autre autorisation » (voir le Considérant n°103 du RGPD).

Pour un aperçu détaillé de l’ensemble de ces 6 mécanismes RGPD, vous pouvez accéder à ma présentation (en BD) sur ce sujet précis, en ligne depuis juillet 2017.

Pour les plus pressé(e)s, une synthèse de ces différents mécanismes figure dans le slider en fin de ce post.

Rappelons enfin que les décisions d’adéquations conclues par l’UE sous le régime de la Directive 95/46 ont été prolongés pour une durée de 4 ans à compter de l’entrée en vigueur du RGPD (25 mai 2018).

L’arrêt Schrems II : la validation des clauses contractuelles type UE de 2010 !!!

Les raisons de l’annulation du Privacy Shield ?

Les mêmes que celles ayant concouru à l’annulation du Safe Harbor en 2015.

Avec en tête de liste, l’impossibilité pour un européen de mener de manière effective un recours juridictionnel en cas de non-respect de ses droits aux USA.

Alors, faire du business de la data entre l’UE et les USA, c’est encore possible en toute légalité ?

OUI !

Depuis ce 16 juillet 2020, il faut conclure un contrat d’exportation de données entre l’exportateur européen  et l’importateur USA.

Evidemment, cette conclusion doit être préalable toute opération de transfert (c’est là que ça va coincer un peu).

Par son arrêt du 16 juillet 2020 « Schrems II », la CJUE vient officiellement de confirmer la validité juridique des clauses type de l’UE au regard du RGPD.

Ces clauses UE type de  2010 (actuellement objets – elles aussi – d’autres recours en annulation devant la CJUE) sont désormais un instrument juridique fiable.

ça tombe bien, c’est le seul qui nous reste…

Au final, devant la défaillance des politiques de l’UE à défendre les droits numériques des européens, il faut remercier la CJUE qui – elle – n’hésite pas à tirer les conséquences logiques des textes qu’elle interprète.