L’information est passée inaperçue et pourtant elle constitue une étape majeure dans la politique de souveraineté numérique de l’État. Réunis le 8 avril sous l’impulsion du Premier ministre et de plusieurs membres du gouvernement, un séminaire interministériel piloté par Direction interministérielle du numérique vient, en effet, d’acter une accélération nette de la réduction des dépendances aux outils extra-européennes – essentiellement américains. En toile de fond de cette orientation : une inquiétude désormais installée au sommet de l’État, qu’il existe une possibilité d’interruption potentielle de services numériques américains utilisés par l’administration. L’exemple du juge Guillou, magistrat à la Cour pénale internationale, privé de son e-mail Microsoft ou de ses moyens de paiement en raison de sanctions américaines le visant, en est une illustration. Sortie progressive de Windows au profit de systèmes Linux Première mesure décidée mercredi dernier : la...
L'autorité de protection des données personnelles irlandaise ("IDPC") a déclaré le 25 mai dernier, par la voix d'Helen Dixon, son commissaire à la protection des données, avoir des doutes sur la conformité aux réglementations européennes de l'un des mécanismes de transfert de données hors UE : les clauses contractuelles types.
L'IDPC a informé M. Schrems et Facebook de son intention de demander à la Cour de Justice Européenne (CJUE) de se prononcer sur le statut juridique des transferts de données effectués sous le régime des clauses contractuelles types.
Or, ces dernières sont devenues le principal mécanisme (hormis les BCR, utilisées au sein d'un même groupe de sociétés) utilisé pour transférer des données de l'Union Européenne vers les Etats-Unis depuis la décision Schrems d'invalidation du Safe Harbor, le 6 octobre 2015 par la CJUE. Pire, contrairement au Safe Harbor, utilisé exclusivement pour les transferts vers les Etats-Unis, les clauses contractuelles types permettent d'opérer des transferts de données hors UE quelle que soit la destination.
Si cet outil de transfert venait à être invalidé, ce sont donc l'ensemble des transferts hors UE qui devront être reconsidérés.
Il ne s'agit toutefois pas d'un développement totalement surprenant. En effet, dès le lendemain de la décision Schrems, nous, comme d'autres commentateurs, avions relevé que les critiques faites par la CJUE sur le Safe Harbor, justifiant son invalidation, étaient parfaitement applicables aux clauses contractuelles types.
Le groupe de travail G29 avait également indiqué en mars dernier que les mécanismes, autres que le Safe Harbor, utilisés par les entreprises afin de transférer des données vers les Etats-Unis pourraient être remis en cause. Néanmoins, cet examen avait été retardé par l'entrée en piste du Privacy Shield.
Mais alors, où en sommes-nous aujourd'hui ?
Il faudra de longs mois, voire même des années, avant qu'une décision de la CJUE, suite aux actions de l'IDPC, n'invalide des clauses contractuelles types.
Néanmoins, l'étau se resserre inexorablement autour des clauses contractuelles types de la Commission Européenne et probablement par contagion autour des règles contraignantes d'entreprise (autre outil de transfert de données).
Dans l'intervalle les clauses contractuelles types demeurent applicables, mais on le sait maintenant, leur mort est programmée. Cet outil juridique ne peut donc être considéré comme une solution pérenne pour organiser des transferts de données hors UE.
Pour autant, la mise en place de mécanismes alternatifs jugés satisfaisants par le G29 tarde. En particulier, le Privacy Shield a bien du mal à convaincre et est déjà menacé de recours divers et variés s'il devait être adopté définitivement.
Les acteurs de l'économie internationale sont donc plus que jamais dans l'incertitude et, au lendemain de l'adoption du nouveau règlement européen de protection des données personnelles, cela pourrait freiner la mise en place de nouvelles règles de gouvernance internes liées à la protection des données personnelles.