1 52 Table of Contents 54 68

ATOUT RISK MANAGER N°26

ATOUT RISK MANAGER N°26 I AUTOMNE 2020 53 Veille et position Alexandre Ghanty, Juriste, Département technologies de l’information et protection des données CMS Francis Lefebvre Concrètement, il conviendra de s’assurer auprès de chacun des destinataires de données américains que ces derniers mettent en œuvre au moins l’une des garanties requises par le RGPD. Si les garanties avancées par le prestataire se résument à la certification Privacy shield, il doit impérativement être amené à se mettre en conformité ; le transfert de données devra à défaut être suspendu. Quelles sont ces garanties ? Elles peuvent prendre plusieurs formes, et résider dans des règles d’entreprise contraignantes (Binding corporate rules ou BCR) ou des codes de conduite adoptés dans les conditions du RGPD. En pratique, elles se matérialiseront le plus souvent au travers de jeux de clauses contractuelles types de la Commission européenne. Ces clauses visent à imposer au destinataire des données en dehors de l’Union européenne un certain nombre d’obligations et de garanties de nature à assurer un niveau de protection suffisant aux données transférées. … dont l’efficacité est reconnue par les autorités de supervision Vigilance cependant ! Quand bien même auraient été signées avec le destinataire américain des clauses contractuelles conformes aux clauses types de la Commission européenne, le risque de non-conformité du transfert des données vers les Etats-Unis reste fort. Les récents développements jurisprudentiels rendent en effet incertaine l’efficacité des clauses contractuelles types de la Commission européenne. Ainsi qu’a pu le juger la CJUE dans sa décision du 16 juillet dernier, l’autorité de contrôle compétente est tenue de suspendre ou d’interdire le transfert même fondé sur des clauses types, lorsqu’elle considère que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données ne peut pas être assurée par d’autres moyens. La décision de l’autorité irlandaise du 9 septembre dernier est à cet égard remarquable. Elle ordonne la suspension des transferts de données par Facebook Inc. vers les Etats-Unis, estimant pour la première fois que les clauses contractuelles types de la Commission n’offrent pas les garanties adéquates. Si cette décision est à date encore isolée, elle confirme que la seule conclusion de clauses conformes aux clauses types de la Commission ne saurait suffire pour garantir un niveau de sécurité suffisant et partant la licéité des transferts de données transatlantiques. La plus grande vigilance doit donc être de mise dans vos relations avec vos prestataires localisés aux Etats-Unis, ou recourant à des services impliquant des transferts de données vers les Etats-Unis. L’incertitude juridique doit ici inciter, sinon à limiter le recours à de tels transferts, du moins à s’assurer que sont prévues des mesures de sécurité techniques de nature à éliminer le risque d’accès non autorisé aux données (cryptage, hachage, etc.). n

RkJQdWJsaXNoZXIy NjQyNDQw