Sabine Marcellin, Avocate Associée de DLGA,
Laurent Marcoz, Head of GDPR Practice d’OAKland Group
Depuis que la référence au Privacy Shield s’est effondrée, les entreprises françaises et européennes courent un risque de non-conformité au RGPD. Le transfert des données personnelles outre-Atlantique n’était pas interdit mais comme la base légale sur laquelle ce transfert était fondé est invalidée, cela le devient.
Dans l’attente d’une solution politique entre Union Européenne et USA, comment réagir ?
Les entreprises doivent sans tarder vérifier le périmètre de leurs transferts vers les Etats-Unis, avec leur DPO le cas échéant. C’est à dire s’assurer que leur cartographie de traitement et registres sont à jour par rapport à leurs usages professionnels : recours au cloud, usages de plateformes, d’applications, etc. A partir de ce constat, les entreprises peuvent mesurer, quels sont les risques encourus et les mécanismes à revoir.
Quelles sont les actions pratiques à envisager ?
Fortes de ces éléments, les entreprises ont d’ores et déjà quelques pistes à étudier :
• Rapatrier certains traitements dans l’espace européen. Si l’idée paraît simple, sa mise en œuvre peut s’avérer complexe pour trouver un opérateur équivalent sur le sol européen et migrer les données vers celui-ci.
• Utiliser un dispositif technique de chiffrement et s’assurer que les clefs de chiffrement sont gérées dans l’espace européen.
Et quelles sont les actions juridiques à mettre en œuvre ?
• Obtenir le consentement de chaque personne (art 49 du RGPD) mais sachant que ce consentement doit être libre, spécifique et éclairé, cette exception ne semble applicable que dans certains cas particuliers,
• Renégocier les contrats applicables en y intégrant des Clauses Contractuelles Type (ou CCT). Les CCT sont des modèles de contrats élaborés par la Commission européenne pour encadrer les transferts de données hors UE, vers les pays n’ayant pas un niveau de protection équivalent. Cette solution est loin d’être parfaite car les CCT s’appliquent au cas par cas et que l’exportateur de données reste qualifié de responsable de traitement.
Il est urgent d’agir !
Durant cette période de flottement, où les réglementations sont remises en cause, il est essentiel pour les organisations de réagir. Au-delà de la mise en place d’actions correctives, les entreprises ont intérêt à réaliser une veille active et pragmatique de l’évolution des règles européennes et des décisions des autorités de contrôle.