En sonnant le glas de l'accord Privacy Shield cet été, la Cour de justice de l'Union Européenne s'est attirée les faveurs des défenseurs de la protection des données personnelles en Europe. Et dans le même temps, elle a déstabilisé les grands fournisseurs de services américains, GAFAM en tête. Quelques semaines après cette annonce, on apprend ainsi que la Commission des données personnelles irlandaise (IDPC) a engagé une action (preliminary order) contre Facebook pour lui intimer l'ordre de suspendre le transfert de données personnelles d'utilisateurs entre l'Europe et les Etats-Unis. Pour l'instant, seule l'instance irlandaise chargée d'appliquer le RGPD a dégainé contre Facebook, mais d'autres comme la CNIL pourraient très bien lui emboiter le pas.
« La Commission irlandaise de protection des données a ouvert une enquête sur les transferts de données Union européenne-États-Unis contrôlés par Facebook et a suggéré que les clauses contractuelles type ne peuvent en pratique être utilisées pour les transferts de données UE-États-Unis. Bien que cette approche soit sujette à un processus supplémentaire, si elle est suivie, elle pourrait avoir un effet considérable sur les entreprises qui dépendent de ces clauses et des services en ligne sur lesquels de nombreuses personnes et entreprises comptent », s'est défendu Facebook dans un billet. « Nous reconnaissons que la création d'un cadre durable qui soutient des flux de données sans friction vers d'autres pays et systèmes juridiques, tout en garantissant que les droits fondamentaux des utilisateurs de l'UE sont respectés, n'est pas une tâche facile et prendra du temps. Alors que les décideurs politiques travaillent à une solution durable et à long terme, nous exhortons les régulateurs à adopter une approche proportionnée et pragmatique pour minimiser les perturbations pour les milliers d'entreprises qui, comme Facebook, s'appuient de bonne foi sur ces mécanismes pour transférer des données en un moyen sûr et sécurisé. »
Des clauses contractuelles type à insérer au plus vite dans les contrats
Ayant pris la relève du Safe Harbor, le Privacy Shield visait en effet à encadrer l'échange de données utilisateurs d'Européens entre le vieux continent et les Etats-Unis où elles font l'objet de traitement. Sans cet accord, ce transfert de données entre l'Europe et les Etats-Unis est tout simplement - en théorie - impossible. Avant de voir renégocier un autre accord, le flou juridique s'installe et remet sur le devant de la scène les anciennes clauses contractuelles type.
« La résistance de ce mécanisme est en réalité bien étonnante selon les critères mêmes de la CJUE », avait indiqué Etienne Papin, dans nos colonnes en réaction à l'arrêt du Privacy Shield. Et Christiane Féral-Schuhl, présidente du Conseil National des Barreaux, d'ajouter de son côté : « L'annulation du Privacy Shield entraîne que les transferts de données vers les Etats-Unis ne remplissent plus les conditions exigées par le RGPD si ce transfert s'est fait sur la base de ce seul accord intergouvernemental. A l'inverse, si le contrat entre l'entreprise européenne et un fournisseur ou un sous-traitant américain possède les clauses contractuelles types, il n'y a aucun problème. La réaction à avoir est d'instaurer immédiatement les clauses types dans les contrats ».