Suite à l’arrêt Schrems II, l’utilisation de clauses contractuelles types est soumise à des règles et conditions plus strictes : les entreprises de l’UE doivent prendre des mesures supplémentaires et, en principe, procéder à une évaluation au cas par cas de chaque transfert de données. Toutefois, les tribunaux européens ayant jugé que la protection des données aux États-Unis était limitée, les données de l’UE sont considérées comme peu sûres lorsqu’elles sont transférées vers les États-Unis.
En outre, les clauses contractuelles types sont soumises à l’examen des autorités européennes de contrôle et de protection des données. Ainsi, si la situation juridique dans un pays tiers empêche un destinataire de données de respecter les obligations prévues par les clauses contractuelles types, les transferts de données peuvent être suspendus, voire interdits. En d’autres termes, l’ensemble du processus doit être pris en compte lors de l’examen du niveau de protection des données. Tout au long du processus, il faut donc garantir que les autorités nationales de sécurité et d’enquête du pays destinataire n’ont pas accès aux données à caractère personnel.
Dans la situation actuelle, l’évaluation au cas par cas est particulièrement difficile pour les petites et moyennes entreprises, car elles n’ont normalement pas le savoir-faire et les moyens de vérifier si le niveau de protection des données est adéquat dans un pays tiers. En outre, l’arrêt de la CJUE ne précise pas exactement quelles normes concrètes doivent être appliquées à l’évaluation des cas individuels ou aux éventuelles extensions des clauses contractuelles types.
Néanmoins, les PME devraient s’attaquer activement à ce sujet. Les experts juridiques conseillent aux petites et moyennes entreprises de prendre les plus grandes précautions, et de créer une documentation solide sur leurs efforts en termes de protection des données. Ce faisant, les entreprises seront mieux préparées à un éventuel litige, et pourront mieux défendre leurs actions en justice une fois que le Privacy Shield aura pris fin.
Avec un flux de données ainsi restreint, comment les entreprises américaines qui collectent des données sur les citoyens européens doivent-elles progresser ? Quelles mesures doivent-elles prendre pour s’assurer qu’elles se conforment à tous les aspects formels des clauses standard de protection des données ? Avant tout, les entreprises préalablement certifiées au titre du Privacy Shield devraient examiner tous les flux de données, les contrats et les relations qui impliquent le transfert de données personnelles de l’UE vers les États-Unis. Dans la mesure où la situation juridique aux États-Unis sera désormais analysée de plus près par les entreprises de l’UE, et que la probabilité d’un accès inapproprié aux données sera évaluée avec plus d’attention, il est important que vous examiniez tous les accords et que vous déterminiez si vous souhaitez continuer à recevoir ces données. Une fois que vous l’aurez fait, vous devrez déterminer comment votre entreprise peut s’organiser pour maintenir ce flux de données. Si certains partenaires seront plus disposés à accepter ce nouvel accord pour maintenir le fonctionnement habituel, d’autres y verront certainement une chance de renégocier les accords en leur faveur.
Au cours de ce processus, il convient de préciser si votre entreprise assumera des obligations contractuelles particulières compte tenu de la situation actuelle (par exemple des obligations accrues de surveillance et de notification). Dans la situation actuelle, les entreprises de l’UE pourraient également demander aux partenaires commerciaux et aux fournisseurs de services américains d’utiliser tous les moyens techniques disponibles pour optimiser la protection des données, par exemple l’utilisation du chiffrement de bout en bout pour les logiciels de vidéo conférence.
Les entreprises européennes qui peuvent fonctionner sans transfert de données, services de Cloud, et serveurs dans des pays tiers hors UE doivent se tourner vers des alternatives respectueuses du RGPD en Europe. En outre, l’évolution de la législation en matière de protection des données devrait être suivie de près. Dans une liste des questions fréquemment posées, le Comité européen de la protection des données (CEPD) fournit des informations sur la situation actuelle aux parties intéressées.