En 2015, l'annulation d'un premier accord entre les Etats-Unis et l'Union Européenne sur les transferts de données personnelles, le Safe Harbor, avait donné naissance quelques mois plus tard à un deuxième accord, le Privacy Shield. Celui-ci vient à son tour d'être annulé par la Cour de Justice de l'Union Européenne. Cette annulation ne touche pas les « clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers » établies par la Commission Européenne. Les Etats-Unis deviennent donc juridiquement un « pays tiers » ordinaire du point de vue des transferts de données personnelles. Or la simplification apportée aux entreprises américaines par la possibilité d'adhérer au Privacy Shield était justement liée à la situation particulière de ce pays d'où proviennent la plupart des fournisseurs de cloud et des éditeurs de logiciels courants.
« L'annulation du Privacy Shield entraîne que les transferts de données vers les Etats-Unis ne remplissent plus les conditions exigées par le RGPD si ce transfert s'est fait sur la base de ce seul accord intergouvernemental » indique Christiane Féral-Schuhl, avocat associé du cabinet Féral-Schuhl / Sainte-Marie et présidente du Conseil National des Barreaux. A l'inverse, si le contrat entre l'entreprise européenne et un fournisseur ou un sous-traitant américain possède les clauses contractuelles types, il n'y a aucun problème. Christiane Féral-Schuhl en déduit logiquement : « la réaction à avoir est d'instaurer immédiatement les clauses types dans les contrats. »
Clauses à spécifier
Tous les responsables de traitement qui transfèrent ou stockent des données aux Etats-Unis, notamment en ayant recours à des services cloud, doivent donc procéder immédiatement à une analyse de leurs contrats. Trois questions doivent être successivement soulevées selon Christiane Féral-Schuhl :
- Où sont stockées les données ?
- Par où transitent les données ?
- Les clauses contractuelles types ou les clauses spécifiques rendues nécessaires par une situation particulière sont-elles bien présentes ?
Il s'agit donc de revenir aux dispositions générales concernant les pays non-européens, l'adhésion au Privacy Shield ne suffisant plus au respect du RGPD ou aux dérogations de l'article 49. Bien entendu, rien n'exclut à ce jour qu'un troisième accord inter-gouvernemental davantage contraignant ne soit à nouveau négocié, même si le contexte politique actuel n'y est guère favorable.