Article
Ecrit par Brenda Lioris
Posted on 18/02/2020

Les clauses contractuelles types sont suffisantes pour les transferts de données en dehors de l’UE

119 lectures

Le 19 décembre 2019, l’avocat général de la Cour de justice de l’Union européenne a établi dans un avis non contraignant que le transfert de données en dehors de l’Union européenne est légal. Une victoire pour Facebook, entre autres, face à l’Irish Data Protection Commissioner (DPC), l’autorité irlandaise de protection des données.

« Les clauses contractuelles types pour le transfert de données personnelles à des sous-traitants établis dans des pays tiers sont légales. » C’est ce qu’a déterminé l’avocat général Henrik Saugmandsgaard dans une décision publiée par la Cour de justice.

En tant qu’avocat général, il formule des recommandations pour trouver une solution à des problèmes juridiques spécifiques. Le tribunal, quant à lui, est toujours en consultation et réagira à une date ultérieure. L’avis de l’avocat général Saugmandsgaard est une victoire et un soulagement pour les entreprises qui s’appuient sur des clauses contractuelles types pour justifier leurs transferts de données en dehors de l’Espace économique européen.

Max Schrems

En 2013, l’avocat et défenseur de la vie privée autrichien Max Schrems a déposé une plainte auprès des autorités irlandaises. Depuis des années, Schrems mène une bataille acharnée contre Facebook et d’autres canaux de médias sociaux en matière de confidentialité dans différents pays. Cette plainte a été déposée en Irlande, car Facebook y traite les données personnelles européennes en tant que responsable du traitement. Sa plainte a fait suite aux révélations d’Edward Snowden sur les activités des services de renseignement américains (en particulier la National Security Agency). Il estime que la loi et les pratiques des États-Unis n’offrent pas une protection suffisante contre les atteintes à la vie privée. En d’autres termes, la supervision par le gouvernement américain des données transmises à ce pays n’est pas satisfaisante.

L’affaire Schrems II a tenté de confirmer qu’un certain nombre de mécanismes de transfert de données, dans le cadre de la due diligence, ne peuvent pas être utilisés par les entreprises de l’UE. Avec des risques matériels (amendes liées au RGPD) en résultant si elles méconnaissent les évaluations.

Retard et frais supplémentaires

Dans le passé, il suffisait aux entreprises européennes de signer un contrat et voilà. Jusqu’à ce que Schrems conteste cette méthode. S’il avait réussi, les entreprises auraient dû engager des coûts beaucoup plus élevés pour rendre ces transferts de données possibles en dehors de l’Espace économique européen. Il ne serait alors resté que quelques binding corporate rules (qui nécessitent beaucoup plus d’intervention juridique), des décisions d’adéquation et des contrôles ad hoc par l’autorité de protection des données. Leur mise en place aurait entraîné des retards et des coûts supplémentaires. Mais cela n’arrivera pas.

Une base solide

L’avis de l’avocat général laisse à croire qu’il s’agit de problèmes concernant la Commission et le gouvernement et non les entreprises individuelles. Cela suggère également que les clauses contractuelles types restent une base solide pour le transfert de données vers des pays en dehors de l’Union européenne.

Les clauses contractuelles types seront donc un outil importantpour les entreprises britanniques afin de recevoir des données de l’UE après le Brexit. Il semble donc normal qu’elles se voient accorder une place appropriée dans les prochaines négociations commerciales et qu’elles ne soient pas traitées comme un aspect critique.