L’été a été propice à une actualité judiciaire sur le RGPD ayant un très fort impact sur tous les contrats en cours avec les sociétés américaines créant pour les entreprises une insécurité juridique.

La Cour de justice de l’Union européenne vient en effet d’invalider l’accord dit « Privacy Shield » passé entre la Commission européenne et la Chambre du commerce américaine pour légaliser les transferts de données personnelles vers les Etats-Unis (arrêt du 16 juillet 2020, C-311/18).

Les sociétés américaines ayant adhéré au Privacy Shield étaient, jusqu’à présent, considéré comme des destinataires ayant un niveau de protection équivalent au RGPD. Suite à la remise en cause de cet accord, les responsables de traitement vont devoir signer avec leurs prestataires américains des contrats de transferts de données, étant précisé que la simple signature des clauses contractuelles types de la Commission Européenne ne suffit plus.

En effet, la Cour de justice ajoute une nouvelle obligation à la signature de ces clauses : les responsables de traitement doivent à présent procéder à une évaluation au cas par cas de chaque transfert en fonction de deux critères cumulatifs:

• le contenu des clauses contractuelles encadrant le transfert qui doivent prévoir :
  • des mécanismes effectifs permettant  d’assurer que le niveau de protection requis par le droit de l’UE est respecté ;
  • à défaut, des mécanismes permettant de suspendre lesdits transferts ;
• la loi applicable du pays destinataire.

En parallèle, l’entreprise destinataire dudit transfert doit informer le responsable de traitement européen de son éventuelle incapacité de se conformer auxdites clauses.

Conséquences :

Vous êtes tenus de mettre en conformité vos transferts de données personnelles vers les Etats-Unis avec cette décision, que ces transferts soient à destination d’une filiale, de leur maison-mère ou d’un prestataire.

Ainsi, dans un premier temps, nous vous recommandons de :

• supprimer toute référence au Privacy Shield de la Privacy policy et de toute autre mention d’information ;
• recenser les transferts opérés vers les Etats-Unis ;
• signer avec ses fournisseurs des contrats de transfert conformes ;
• créer un process pour procéder à une évaluation au cas par cas de chaque transfert tenant compte des circonstances qui lui sont propres et des mesures mises en place entre les parties pour s’assurer de sa validité;
• si l’analyse est négative, suspendre le transfert concerné voire même résilier le contrat passé avec le prestataire américain.

L’arrêt de la Cour de justice ayant une portée générale, il sera nécessaire, dans un second temps, de recenser l’ensemble des transferts de données vers un destinataire situé en dehors de l’UE et vérifier la validité de chacun d’entre eux dans les mêmes conditions.