Accueil > Financement et politiques publiques > Comment appliquer l’invalidation du Privacy shield Comment appliquer l’invalidation du Privacy shield La Cnil s’est penchée sur les conséquences pratiques de l’invalidation du Privacy shield au mois de juillet par la CJUE, qui touche notamment le secteur de la santé. Des premières questions-réponses ont ainsi été mises en ligne. Par . Publié le 11 septembre 2020 à 18h15 - Mis à jour le 27 novembre 2020 à 12h13 Ressources C’est un arrêt d’importance que la Cour de justice de l’Union européenne (CJUE) a rendu cet été. Le 16 juillet 2020, elle a invalidé le Privacy shield, ce régime de transferts de données entre l’Union européenne (UE) et les États-Unis. Aussi appelé bouclier de protection des données, il s’applique, depuis 2016, à tout type de données à caractère personnel, y compris des données de santé. Plus précisément, l’arrêt de la CJUE invalide la décision adoptée en 2016 par la Commission européenne sur le caractère adéquat de la protection assurée par le bouclier de protection de la vie privée entre l’UE et les États-Unis, qui permettait donc le transfert de données entre l’UE et les opérateurs américains adhérant au Privacy Shield sans autre formalité. Il s’agit en effet d’un processus d’auto-certification. La CJUE a estimé que les exigences du droit américain n’étaient pas équivalentes à celles requises par le droit de l’UE, donc par le règlement général sur la protection des données (RGPD). Elle pointe du doigt l’encadrement insuffisant de l’accès et l’utilisation, par les autorités publiques américaines, de ces données mais aussi l’absence de “voie de recours devant un organe (…) de nature à assurer tant l’indépendance du médiateur (…) que l’existence de normes habilitant ledit médiateur à adopter des décisions contraignantes à l’égard des services de renseignement américains”. De quoi porter atteinte aux droits fondamentaux des personnes dont les données sont transférées vers ce pays. Dans la foulée de cet arrêt, la Commission nationale de l’informatique et des libertés (Cnil) a donc débuté une analyse de ses conséquences pratiques, en lien avec le Comité européen pour la protection des données (CEPD). Car si l’affaire concernait Facebook, ses conclusions s’appliquent à toutes les entreprises transférant des données personnelles depuis l’Europe ou la Suisse vers les États-Unis. Une première salve de questions et réponses a ainsi été publiée le 31 juillet. La Cnil y précise d’emblée qu’aucun délai de grâce ne s’applique et que les transferts de données même à un importateur de données américain adhérant au Privacy Shield sont désormais illégaux. Elle rappelle également que donner accès aux données équivaut à un transfert. Envisager des mesures complémentaires La seule façon de pouvoir continuer à transférer des données vers les États-Unis est de mettre en place des mesures supplémentaires, quand bien même sont déjà utilisées des clauses contractuelles types (CCT). “L’ensemble formé par les mesures supplémentaires et les CCT, après une analyse au cas par cas des circonstances entourant le transfert, devra garantir que la législation américaine ne compromet pas sur le niveau de protection adéquat que les clauses et ces mesures garantissent. Si vous arrivez à la conclusion que, compte tenu des circonstances du transfert et d’éventuelles mesures supplémentaires, le respect des garanties appropriées ne serait pas assuré, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles.” Dans le cas où les transferts sont malgré tout maintenus, l’autorité de contrôle compétente doit en être informée. Même chose en cas d’utilisation de règles d’entreprise contraignantes (BCR, pour binding corporate rules). En revanche, le CEPD doit encore évaluer les conséquences de l’arrêt sur les autres outils de transfert que les CCT et les BCR. Les sous-traitants aussi Si d’autres pays tiers ne sont pas visés par l’arrêt de la CJUE, la Cnil souligne que “le seuil fixé par la Cour pour les transferts vers les États-Unis s’applique à tout pays tiers”. Dans tous les cas, l’exportateur et l’importateur de données doivent donc évaluer “si le niveau de protection requis par le droit de l’UE est respecté dans le pays tiers concerné afin de déterminer si les garanties fournies par les CCT ou les BCR peuvent être respectées dans la pratique. Si ce n’est pas le cas, vous devez évaluer si vous pouvez prévoir des mesures supplémentaires pour assurer un niveau de protection essentiellement équivalent, et si la législation du pays tiers n’empiètera pas sur ces mesures supplémentaires de manière à les priver d’effectivité”. Sous peine de devoir immédiatement suspendre les transferts, ou d’en informer l’autorité de contrôle compétente. À noter que ces mesures complémentaires sont encore à déterminer par le CEPD, qu’elles soient juridiques, techniques ou organisationnelles. Enfin, cette évaluation de la législation s’applique également aux sous-traitants, y compris pour le transfert de données à des fins de stockage ou de maintenance. Ainsi qu’aux dérogations prévues par l’article 49 du RGPD. Abbott, Merck, 23andMe, GE, Illumina OU des GAFAM sur la liste Privacy Shield Le site du Privacy shield met à disposition la liste des entreprises certifiées. Y figurent notamment Allscripts, Baxter, Cerner, GE Healthcare et GE Medical Systems, Illumina, IQVIA, Nuance Communications et Nuance Healthcare Diagnostic Solutions, Propeller Health, 23andMe, Microsoft, Google et Verily, Amazon, Fitbit, Abbott, AiCure, Merck ou Varian Medical Systems. Pour chacun, sont indiqués les données concernées et les objectifs du transfert de ces données, avec plus ou moins de précision. Données de santéDonnées privéesIndustrieRGPD Besoin d’informations complémentaires ? Contactez le service d’études à la demande de mind
