L’arrêt de la CJUE (Cour de justice de l’Union européenne, 16 juillet 2020, rendu dans le cadre de l’affaire « Schrems ») a raisonné comme un coup de tonnerre pour les entreprises qui effectuent régulièrement des transferts de données à caractère personnel vers des pays tiers, hors Union européenne, et notamment les USA.
La CJUE a annulé, avec effet immédiat, la décision de la Commission européenne qui avait rendu possible le transfert des données à caractère personnel vers les États-Unis sur le fondement du Privacy Shield.
Pourquoi une telle décision ?
Dans cet arrêt, la CJUE énonce, entre autres, que :
- la surveillance des données par les États Unis va au-delà du strict nécessaire, avec notamment la possibilité d’une surveillance à grande échelle sans respect des principes de nécessité et de proportionnalité ;
- les personnes concernées ne peuvent faire valoir leurs droits de façon effective devant une justice indépendante et impartiale.
Y a-t-il une alternative ?
Le RGPD offre la possibilité aux entreprises de se fonder sur des Clauses contractuelles types (1), pour mettre en place les transferts de données vers des pays tiers qui ne bénéficient pas d’une décision d’adéquation (2).
Malheureusement, la CJUE met en garde : les clause contractuelles types peuvent fonder un transfert de données vers un état tiers, sous réserve que ce dernier dispose d’une législation encadrant suffisamment l’ingérence de ses autorités.
Force est de constater que cela n’est pas le cas des États-Unis. Ainsi, si une entreprise veut continuer à transférer des données vers les USA, elle devra mettre en place des garanties supplémentaires.
Et après ?
Si le transfert des données vers les USA ne peut plus être encadré par le Privacy Shield, ou par les Clauses contractuelles types, les entreprises vont devoir imaginer les garanties supplémentaires permettant d’apporter un niveau de protection des données adéquat, notamment contre l’ingérence des autorités des états tiers.
La tâche n’est pas aisée car la CJUE n’a apporté aucune information sur la méthode. Et l’autorité de contrôle n’a pas encore publié de recommandation sur le sujet.
Le constat est là : la capacité des acteurs de la data à se mettre en conformité est incertaine… alors que le risque de sanction est lui bien réel pour le responsable de traitements !
Le conseil
Professionnels de santé, en tant que responsable de traitements vous devez assurer la sécurité et la confidentialité des données que vous traitez. Vous devez également veiller à ce que vos sous-traitants répondent à cette même exigence.
Cette décision de la CJUE doit être pour vous l’occasion de refaire le point sur les contrats avec ces derniers.
Vous devez vous assurer que les structures d’hébergement et de transfert de données, avec lesquelles vous avez contracté, sont domiciliées ou travaillent elles-mêmes avec des intervenants au sein de l’Europe ou dans un pays tiers couvert par une décision d’adéquation.
GLOSSAIRE
(1) Clauses contractuelles types : modèles de contrats de transfert de données personnelles adoptés par la Commission européenne.
(2) Décision d’adéquation : décision de la Commission constatant qu’un pays tiers assure un niveau de protection adéquat (Article 45 du RGPD).