Règle numéro 1 pour les professionnels de la protection de la vie privée : soyez très à l’aise avec l’incertitude.
Cette règle s'applique à l'arrêt historique rendu la semaine dernière par la Cour de justice de l'Union européenne (CJUE) dans l'affaire Data Protection Commissioner contre Facebook Ireland Limited, Maximilian Schrems (« Schrems II »).
Que signifie Schrems II pour la confidentialité des données ?
Au cours de la dernière décennie, des tentatives ont été menées pour valider le maintien par les entreprises américaines d'un « niveau de protection adéquat » des données de l'UE. Bouclier de protection des données UE-États-Unis a été introduite pour répondre spécifiquement aux besoins de protection des données personnelles transférées de l'Union européenne vers les États-Unis. Plus de 5 000 entreprises ont rapidement adopté cette mesure. Bouclier de protection des données comme principal mécanisme juridique lors du transfert de données personnelles de l’Union européenne vers les États-Unis.
Le jugement historique déclare invalide le bouclier de protection des données de l'UE, bouleversant le monde de la protection de la vie privée. Plus précisément, elle remet en question la légalité du transfert des données des citoyens de l'UE vers les États-Unis, ainsi que la manière dont les données personnelles devraient être partagées au-delà des frontières.
Là où le Privacy Shield a échoué
La Cour a estimé que la législation américaine ne fixe pas de limites efficaces aux activités de renseignement d’accès et ne prévoit aucun recours efficace que les citoyens de l’UE peuvent utiliser si leurs données ont été transférées aux États-Unis.
Bien que le Privacy Shield prévoyait un médiateur chargé de remédier aux déficiences en matière de transfert de données, celui-ci n’était pas suffisamment indépendant des exigences légales américaines pour être considéré comme un mécanisme suffisant de recours individuel – et le Privacy Shield lui-même n’établissait pas de limites aux pouvoirs de renseignement américains.
Le ministère du Commerce a déclaré qu'il continuerait à administrer le programme Privacy Shield, mais la réalité est que le programme est désormais considéré comme un Mécanisme de protection des données inefficace pour les transferts de données de l’UE.
Comme l'a déclaré Omer Tene, directeur des connaissances de l'Association internationale des professionnels de la protection de la vie privée plaisanté – la situation revient essentiellement à essayer de mettre une cheville ronde dans un trou carré puisque « les exigences de la Constitution américaine en matière de qualité pour agir ne peuvent être conciliées avec les contestations judiciaires de personnes qui ne sont jamais informées qu'elles sont soumises à la surveillance gouvernementale. » Et le Clause de nomination de la Constitution américaine n’est pas susceptible d’être confiée à un médiateur entièrement indépendant qui satisferait aux exigences de la CJUE. »
Sauvé par les SCC ?
Schrems II Heureusement, cela n'a pas invalidé le en soi utilisation de Clauses contractuelles types (CCT) comme mécanisme de transfert de données.
La Cour a toutefois prévu que les entreprises seraient contraintes de recourir à des « mesures complémentaires » ou à « d'autres clauses et garanties supplémentaires » dans les cas où les clauses contractuelles types ne peuvent garantir une protection. La CJUE n'a pas précisé quelles mesures ou garanties les entreprises devraient désormais mettre en œuvre.
En réfléchissant à ce que cela pourrait signifier, le Dr Chris Kunner, professeur de droit et codirecteur du Brussels Privacy Hub, a émis l'hypothèse suivante : « Le prix à payer pour le respect des clauses contractuelles types semble avoir été de rendre les responsables du traitement des données plus responsables de leurs actions lorsque la législation du pays d'importation autorise l'accès à des données allant au-delà des normes de l'UE. »
Qui est concerné ?
En fin de compte, toutes les entreprises, quelle que soit leur taille et leur secteur, qui traitent des données de l'UE. Cela affecte la manière dont des données personnelles sont collectées, déplacé et commun à travers les pays et les frontières, avec des ramifications potentielles dans tous les secteurs, des médias sociaux au commerce de détail en passant par les agences gouvernementales et partout ailleurs.
Et maintenant ?
Beaucoup attendent des directives officielles du Comité européen de la protection des données (CEPD) ; d’autres discuteront avec leur conseiller juridique interne et externe pour savoir sur quels mécanismes juridiques ils devraient s’appuyer dans l’intervalle.
Entre-temps, lorsqu’elles examinent les « garanties supplémentaires » apportées aux clauses contractuelles types du point de vue des données, les organisations peuvent adopter une approche proactive pour régir le transfert des données personnelles.
BigID aide les organisations à identifier, gérer et surveiller toutes les activités liées aux données personnelles et sensibles, y compris les transferts de données transfrontaliers. Avec BigID, les organisations peuvent :
- Signaler et surveiller le partage de données par des tiers
- Détecter les transferts de données transfrontaliers hors politique
- Données d'étiquettes et de marquage à des fins juridiques
- Étiqueter les attributs des données en fonction de la résidence de la personne concernée pour les transferts intra-entreprise
Comprendre vos fonds de données – par exemple lier la résidence à une identité et savoir où La manière dont les données sont stockées est un excellent point de départ pour les entreprises qui tentent de comprendre ce qui va suivre après le Privacy Shield.
En tant que secrétaire américain au Commerce, Wilbur Ross a déclaré, nous « espérons pouvoir limiter les conséquences négatives sur la relation économique transatlantique de $7,1 billions qui est si vitale pour nos citoyens, nos entreprises et nos gouvernements respectifs. Les flux de données sont essentiels non seulement pour les entreprises technologiques, mais aussi pour les entreprises de toutes tailles et de tous secteurs.."
Auteur
