Le Syntec Numérique, l’Asic et Tech In France se sont fendus d’un communiqué commun dans lequel ils s’alarment de l’incertitude juridique consécutive à l’invalidation du Privacy Shield et demandent des mesures transitoires en attendant la mise en place d’un nouveau cadre européen quant au transfert des données entre l’UE et les États-Unis.
Quatre ans après son entrée en vigueur, le Privacy Shield connaissait le même sort que son prédécesseur, le Safe Harbor : la CJUE prononçait son invalidation, estimant qu’il n’offrait pas les niveaux de protection suffisants. Les entreprises se pensaient alors à l’abri de leurs Clauses contractuelles types, mais voilà que, s’appuyant sur l’arrêt de la Cour, le Data Protection Commissioner irlandais s’en prend à Facebook en lui intimant de cesser les transferts.
Pour le Syntec Numérique, l’Asic et Tech In France, “la CJUE exige désormais que les entreprises exportatrices évaluent elles-mêmes le niveau d’adéquation du pays tiers ne bénéficiant pas de décision d’adéquation valide, en tenant compte des lois du pays où se situe l’importateur, et en particulier des pratiques permettant l’accès auxdites données par les autorités publiques du pays en question”. Si les trois groupements d’entreprises du secteur du numérique reconnaissent le bien fondé de la volonté de la juridiction européenne de voir mises en place des dispositions assurant la protection des données personnelles des citoyens européens, ils estiment néanmoins que “cette remise en cause non-anticipée des mécanismes existants” n’est pas sans poser problème.
Ils soulignent, ce faisant, l’importance des transferts de données pour “favoriser l’économie et l’innovation européennes” et déplorent que des entreprises font déjà l’objet de plaintes, alors qu’elles peinent déjà à se remettre des conséquences de la crise sanitaire. Un problème de timing donc, auquel le régulateur devrait répondre selon les trois associations en prenant des mesure transitoires “d’application immédiate”. Et ce afin de sécuriser les entreprises en attendant un hypothétique Privacy Shield II.
Mesures transitoires
A commencer par la publication par les gendarmes européens de la protection des données, réunis au sein du CEPD, de lignes directrices quant à l’utilisation des clauses contractuelles types. “Il est essentiel que les recommandations des autorités de protection des données soient précises, opérationnelles et adaptées au niveau de risque présenté par différents transferts, en fonction de facteurs tels que le types de données, le but du transfert ou le rôle de l’entreprise. Les recommandations doivent également être respectueuses des traités de commerce internationaux afin de permettre une mise en œuvre rapide et efficace par l’ensemble des acteurs concernés” écrivent-ils.
Ils appellent en outre de leurs voeux que la Commission européenne fasse de même et que Commission et CEPD dressent la liste des pays tiers en fonction des risques et du niveau d’adéquation avec les règles relatives à la protection des données, “afin de faciliter la mise en conformité des acteurs responsables souhaitant poursuivre leurs transferts vers des pays tiers jugés non adéquats et de garantir ainsi une approche harmonisée et cohérente pour toutes les organisations européennes”.