Que faire après la fin du Privacy Shield? Ne comptez pas trop sur l’Europe…

Vous vous souviendrez que le privacy shield, l’accord qui permettait les transferts de données personnelles entre l’Europe et les USA a été annulé par la cour européenne de justice. Peu de temps après l’European Data Protection Board (EDPB), l’autorité européenne qui regroupe les autorités nationales de protection des données a annoncé que cette décision était immédiatement applicable et donc qu’il n’y aurait pas de période de grâce.

En conséquence, le recours à des outils tels que les Google ads, les publicités Facebook, des outils de vidéoconférence tels que Zoom ou Teams, etc. est purement et simplement interdit. Il est clair que cette décision a des conséquences importantes pour les entreprises européennes.

Comme le Privacy Shield est un accord négocié entre l’Europe et les USA, il était logique que tout le monde attendait une réaction des instances européennes. Le Parlement européen a organisé une « audition » à ce sujet le trois septembre en présence du commissaire européen Didier Reynders et du juriste autrichien Max Schrems, qui non seulement est au départ de la procédure d’annulation du Privacy Shield, mais a déjà, via son organisation NOYB, porté plainte contre 101 sociétés européennes qui continuaient à envoyer des données aux USA.

Cette réunion nous a apporté plusieurs informations, que nous analyserons :

• La Commission européenne va travailler avec l’European data protection board (EDPB) pour apporter une « réponse appropriée »…  En clair, un nombre de réunions vont être prévues.
• La Commission va travailler sur trois aspects
  • Créer des guidelines pour les entreprises. C’est effectivement ce qu’attendent toutes les entreprises européennes
  • Moderniser les « clauses types » qui permettent les transferts internationaux. Une première version devrait être proposée en septembre pour une adoption fin 2020. Bonne idée, d’autant plus que ces clauses datent d’avant le RGPD. Mais rappelons que la cour de justice a précisé que ces clauses ne pouvaient pas être utilisées pour les transferts vers les USA. Et pour que ces clauses soient adoptées il faut l’accord de l’EDPB et des États Membres.
  • Travailler avec les USA pour « un cadre potentiel renforcé » pour les transferts EU-US. En langage courant, on est parti pour de longs mois sinon années de négociations. Le Commissaire Européen a rappelé que le résultat de cette négociation nécessiterait un changement législatif aux USA et que l’élection présidentielle ne va pas faciliter la chose.
• Concernant les 101 plaintes déposées par l’organisation de Max Schrems (NOYB) l’EDPB a constitué une task force pour que les autorités nationales en charge de ces plaintes aient une approche commune. Cette coordination est également une demande des acteurs du secteur de la protection des données . En effet, si le fait que le RGPD soit un règlement avec le même texte pour tous les Etats Membres permet une uniformisation européenne, des jurisprudences des différentes autorités trop différentes réduirait à néant cette uniformité.
• L’EDPB a annoncé qu’il travaillerait sur des guidelines concernant les transferts de données hors Europe. Bonne initiative, mais il n’est pas certain que cela résoudra la question des transferts EU-US.

Par expérience, nous savons que le processus de décision européen est lent et que ce que nous avons appris le 3/9/2020 ne donne pas de solutions aux entreprises concernant les transferts de données vers de sociétés américaines. Les transferts sont aujourd’hui interdits, ce qui pose de nombreux problèmes pratiques aux organisations européennes, qu’elles soient petites ou grandes.

Je ne peux que conseiller aux entreprises, et notamment aux milliers de clients de GDPRfolder de vérifier les contrats existants, d’identifier ceux qui permettent des envois de données vers des sociétés américaines et de voir s’il existe des alternatives.

Dossier à suivre donc…