Privacy Shield invalidé: le transfert de données de la Suisse vers les USA devient risqué
L'Union européenne a invalidé le Privacy Shield, l’accord qui encadrait le transfert de données vers les Etats-Unis. Une décision qui impacte l'accord similaire instauré en Suisse. Pour les spécialistes de la protection des données, les entreprises helvétiques doivent prendre des mesures pour répondre à la nouvelle situation.
La nouvelle n’est pas passée inaperçue dans le flux de l’actualité estivale: mi-juillet, la Cour de justice de l'Union européenne (CJUE) a invalidé le Privacy Shield. En vigueur depuis 2016, cet accord venu remplacer le Safe Harbor encadrait le transfert de données personnelles des entreprises européennes vers les Etats-Unis. Typiquement lorsqu'une firme fait appel aux services cloud d’un GAFAM. Dans le cadre de ce «bouclier de protection des données» transatlantique, l’UE avait estimé que les USA apportent des engagements suffisants pour garantir un niveau de protection des données adéquat. Or, la décision récente de la Cour européenne est revenue sur la validité de cet accord suite à une nouvelle plainte de Maximillian Schrems, activiste autrichien déjà à l’origine de l’invalidation du Safe Harbor en 2015.
L'invalidation du Privacy Shield s’explique par sa non-adéquation au règlement général relatif à la protection des données (RGPD). La CJUE estime désormais que les programmes de surveillance de la réglementation interne des Etats-Unis ne sont pas limités au strict nécessaire. La Cour observe en outre qu'en cas de litige, l’accord ne fournissait pas «une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union».
Le Privacy Shield suisse également caduc
L'invalidation du Privacy Shield a aussi des conséquences en Suisse, où un accord similaire était valide depuis 2017. Le Préposé fédéral à la protection des données ne s’est pas encore prononcé sur le sujet mais cet accord est aujourd’hui caduc, selon plusieurs experts suisses en la matière. «Ce qui s’applique au Privacy Shield européen après l’arrêt de la CJCE devrait également s’appliquer au Privacy Shield suisse», estime ainsi le juriste François Charlet. Pour Sylvain Métille, associé au sein de l'étude HDC, «malgré l'absence de réaction du Préposé fédéral à la protection des données et du Conseil fédéral (en tout cas pour l'heure), Ie Privacy Shield entre la Suisse et les Etats- Unis n’est plus fiable et tout tribunal suisse arriverait aux mêmes conclusions que la CJUE».
Que doivent faire les entreprises?
Dans ce contexte, les entreprises suisses sont encouragées à prendre les devants. Pour l’Association Suisse des Délégués à la Protection des Données (ASDPO), il est dès à présent urgent pour les organisations concernées de recourir à un autre mécanisme pour encadrer les transferts de données vers les Etats-Unis, par exemple les clauses contractuelles types ou les règles contraignantes d’entreprise.
«Attention toutefois, les clauses contractuelles types semblent ne pas être valides vis-à-vis des entreprises américaines qui sont soumises à des lois de surveillance. Il faudra donc à l’avenir bien pondérer ce risque dans le choix d’un prestataire», souligne l’ASDPO. Bien que les spécialistes n'aient t pas tous le même avis, Sylvain Métille considère lui aussi qu’il y a désormais des risques à se reposer sur les clauses contractuelles types pour le données transférées vers les USA ou d’autres pays au niveau de surveillance élevé. Sur son blog, François Charlet propose une marche à suivre en six étapes pour aider les Chief Data Officers à analyser la situation de leur entreprise.
