La fin du Privacy Shield : ce que cela signifie pour les accords

La réglementation sur la protection des données a pris un nouveau tournant. La décision Schrems II du 16 juillet 2020 a invalidé le Data Privacy Shield EU-USA – à savoir le cadre de transfert de données sur lequel s'appuient plus de 5 000 entreprises européennes et américaines pour effectuer plus de 7 000 milliards de dollars de transactions commerciales. Cette décision a pris effet immédiatement et a également laissé entrevoir un examen plus approfondi des mécanismes de transfert de données alternatifs tels que les Clauses Contractuelles Types (SCC) et les règles d'entreprise contraignantes (BCR) – laissant de nombreuses entreprises dans l'incertitude quant à la manière de mener des affaires impliquant des transferts de données transatlantiques. 

L’introduction du Privacy Shield

En vigueur depuis avril 2016, le règlement général sur la protection des données (RGPD) impose des restrictions quant au transfert de données personnelles en dehors de l'Union Européenne. Les entreprises ont entrepris un effort sans précédent pour examiner et se conformer aux nouvelles exigences RGPD avec leurs fournisseurs, clients et autres tiers.

L'un des mécanismes les plus courants pour traiter les transferts de données dans le cadre du RGPD était le recours à ce que l'on appelle le "Data Privacy Shield" EU-USA ou Bouclier de Protection des Données UE – États-Unis, un mécanisme d’auto-certification pour les entreprises établies aux États-Unis qui a été reconnu par la Commission Européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux États-Unis.  

L’impact de la décision d’annulation du Privacy Shield

La décision rendue le 16 juillet 2020 par la Cour de Justice de l'Union Européenne,  connue sous le nom de l'affaire Schrems II, a invalidé le Privacy Shield entre l'UE et les États-Unis. Cette décision s'appuie sur la conclusion du tribunal estimant que les exigences du droit américain, et en particulier certains programmes permettant l'accès des autorités publiques américaines aux données personnelles transférées de l'UE vers les États-Unis à des fins de sécurité nationale, entraînent des limitations de la protection des données personnelles qui ne sont pas circonscrites de manière à satisfaire à les exigences du RGPD. Comme mentionné précédemment, cette décision a été rendue effective sans délai, ce qui va naturellement inciter les entreprises à chercher à mettre en œuvre et à utiliser d'autres mécanismes de transfert de données comme les Clauses Contractuelles Types (SCC) et les règles d'entreprise contraignantes (BCR). 

Si la décision Schrems II indique que les SCC émises par la Commission Européenne pour le transfert de données personnelles en dehors de l'UE restent valables, elle exprime également la nécessité pour les entreprises qui s'appuient sur les SCC d'évaluer si elles peuvent maintenir un "niveau de protection adéquat" pour le transfert de données personnelles. Sur la base de cette évaluation, les entreprises peuvent avoir besoin d'imposer des “mesures supplémentaires” pour ces transferts, sans toutefois disposer d'indications claires sur ce que ces mesures devraient raisonnablement être. 

La voie à suivre pour les accords 

Bien qu'il y existe encore beaucoup de disputes juridiques à régler, pour de nombreuses entreprises, la fin du Privacy Shield nécessite une réévaluation et une révision des termes relatifs au transfert de données pour un grand nombre d'accords. Il s'agit là de dizaines de millions d'accords qui ont été modifiés à des fins de protection des données en 2018 !

Pour procéder à la révision de tous leurs contrats et accords, les entreprises peuvent aujourd’hui analyser et identifier facilement l'éventail de leurs obligations en matière de confidentialité et de sécurité des données. Ce type d'analyse complète et intelligente permet aux entreprises d'évaluer pleinement leurs droits et leurs responsabilités, et de mieux comprendre le risque correspondant. Elle peut également les aider à déterminer si elles doivent compléter leur stratégie de transfert de données basée sur le BCR ou le SCC par des mesures supplémentaires, pouvant inclure le cryptage des données ou autres engagements de sécurité, notification des violations et droits de résiliation.

Comment DocuSign Agreement Cloud peut aider

DocuSign Agreement Cloud apporte une valeur ajoutée aux trois éléments essentiels de tout examen et révision des clauses de confidentialité des données contenues dans les accords :

1. DocuSign Intelligent Insights fournit aux entreprises l’intelligence artificielle nécessaire pour analyser efficacement tous leurs accords afin de déterminer si et comment la confidentialité des données est traitée – y compris le recours au Privacy Shield ou à un autre cadre de confidentialité des données.
2. DocuSign CLM permet ensuite de générer rapidement et facilement des modifications et des termes de remplacement pour les accords reflétant leur approche actualisée de la confidentialité dans le monde post-Privacy Shield.
3. DocuSign eSignature, la solution de signature électronique la plus utilisée dans le monde, garantie enfin de manière sécurisée l'exécution d’un accord vérifiable et valide, reflétant la nouvelle politique de confidentialité des données. 

Le monde numérique continue d'évoluer à un rythme sans précédent. DocuSign Agreement Cloud est là pour vous aider.  Pour aller plus loin sur le sujet, prenez connaissance de notre webinar à la demande présenté par des experts juridiques DocuSign et Fieldfisher “The End of Privacy Shield : What Now?”

*Ce blog est proposé à des fins d'information générale. Il n'est pas destiné à servir de conseil juridique et ne peut pas se substituer à celui-ci.

Ressource

Le droit français relatif aux signatures électroniques établit une distinction essentielle entre les contrats entre professionnels (B2B) et les autres types de transactions, notamment les contrats entre professionnels et consommateurs (B2C). Il existe également des dispositions assouplies pour les contrat entre professionnels 

Vous découvrirez dans ce livre blanc quelles sont ces dispositions à travers une analyse des articles du Code Civil relatifs à la signature électronique ainsi qu'un panorama de la jurisprudence applicable.