ATOUT RISK MANAGER N°26

ATOUT RISK MANAGER N°26 I AUTOMNE 2020 52 Veille et position D epuis l’invalidation du Privacy shield par la Cour de justice de l’Union européenne (CJUE) le 16 juillet 2020, il est devenu impossible d’utiliser cette certification pour justifier d’un niveau de protection suffisant des données personnelles au regard du Règlement général sur la protection des données (RGPD) en cas de transfert vers les Etats-Unis. Autrement dit, le transfert de données personnelles vers les Etats-Unis qui s’appuierait uniquement sur la certification Privacy shield du prestataire américain est devenu contraire aux dispositions du RGPD et donc illicite. De lourdes sanctions encourues La plus grande vigilance s’impose donc, eu égard notamment aux sanctions encourues. Les conséquences d’un transfert transfrontalier de données illicite peuvent être très lourdes, tant sur le plan civil, administratif, que pénal. Le responsable de traitement qui partage des données dans des conditions de sécurité insuffisantes sera tenu de réparer le dommage qu’il aura pu causer aux personnes concernées. Par ailleurs, le quantum des sanctions administratives que peut prononcer la CNIL a été très significativement augmenté par le RGPD : les infractions aux dispositions relatives aux transferts de données sont passibles d’amendes dont le montant peut s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, lemontant le plus élevé étant retenu. Enfin, notons sur le plan pénal que le fait de procéder à un transfert de données hors UE de manière illicite est puni de 5 ans d’emprisonnement et de 300 000 euros d’amende pour les personnes physiques, ou 1,5 million euros potentiellement assortis de peines complémentaires comme l’interdiction d’exercice pour cinq ans pour les personnes morales. Dans ce contexte, il ne saurait être trop recommandé aux entreprises recourant à des prestataires américains ou à des services impliquant des transferts de données transatlantiques de s’assurer de la conformité de ces transferts. Comment procéder ? Quelles actions doivent être envisagées vis-à-vis des destinataires de données américains ? S’assurer de l’existence de garanties appropriées… Les responsables de traitement français doivent impérativement s’assurer que les transferts de données opérés vers les Etats-Unis sont conformes au RGPD. Pour cela, ils devront s’assurer, faute de reconnaissance d’un niveau de protection suffisant aux Etats-Unis par les autorités européennes, que des garanties appropriée s au sens du RGPD ont été prévues. Sans bouclier, c’est désormais ainsi qu’avancent les entreprises françaises et européennes faisant appel au support d’entreprises américaines face aux autorités européennes de protection de données personnelles. A la suite de l’invalidation du Privacy Shield par la CJUE le 16 juillet 2020, l’autorité de supervision irlandaise remet en cause l’efficacité des clauses contractuelles types de la Commission européenne lorsqu’elles visent à garantir le transfert de données personnelles vers les Etats-Unis. Vigilance donc pour les responsables de traitements vis-à-vis de leurs prestataires américains ! Le Privacy shield Anne-Laure Villedieu, Avocat associé, membre du directoire Département technologies de l’information et protection des données CMS Francis Lefebvre