Schrems II n'a pas mis fin aux transferts de données vers les États-Unis, mais de nombreuses organisations américaines se trouvent dans une situation impossible et espèrent une solution politique.
Si une organisation fait l'objet d'une ordonnance en vertu de la section 702 de la loi sur la surveillance du renseignement étranger (FISA) ou du décret 12333 (EO), aucune mesure contractuelle prise par cette organisation n'éliminera les problèmes de protection de la vie privée soulevés dans Schrems II. La meilleure chose à faire est donc de minimiser ces préoccupations par l'adoption d'une ou plusieurs garanties supplémentaires.
Tout d’abord, les organisations déjà auto-certifiées au titre du Privacy Shield peuvent (et doivent) choisir de continuer à se conformer à ses exigences. Le ministère américain du commerce a fait savoir qu'il "continuera à administrer le programme Privacy Shield, y compris le traitement des demandes d'autocertification et de re-certification aux cadres Privacy Shield et la tenue à jour de la liste Privacy Shield". Il a également averti que Schrems II "ne libère pas les organisations participantes de leurs obligations dans le cadre du programme Privacy Shield ».
Deuxièmement, la plupart du temps, les organisations se tournent vers l'utilisation de clauses contractuelles types, quand bien même elles maintiennent la certification Privacy Shield.
Troisièmement, la garantie supplémentaire la plus courante est le cryptage en transit et au repos pour empêcher la surveillance gouvernementale clandestine. La question de savoir qui peut détenir la clé de cryptage est souvent négociée.
Quatrièmement, une autre mesure de sécurité supplémentaire courante consiste à obliger contractuellement l'importateur de données à informer l'exportateur de données de toute demande de données émanant du gouvernement américain. Cette mesure est similaire à une mesure de protection couramment utilisée dans les clauses de confidentialité des accords américains, mais avec les exigences supplémentaires suivantes : (i) la personne concernée, en plus de l'exportateur de données, doit avoir la possibilité de s'opposer à la demande ; et (ii) l'importateur de données lui-même doit s'opposer à la demande si des motifs juridiques existent pour une telle opposition.
Enfin, d'autres mesures de sauvegarde, qui pourraient simplement satisfaire franchement les attentes que l'importateur ajoute simplement "quelque chose", peuvent inclure l'adoption de politiques internes et d'exigences de formation pour sensibiliser de manière générale aux questions de surveillance gouvernementale.
Ces garanties semblent être alignées sur les récentes recommandations du CEPD sur les mesures visant à compléter les outils de transfert et les recommandations sur les garanties essentielles européennes pour les mesures de surveillance (toutes deux publiées le 11 novembre 2020). De même, elles sont conformes aux récents projets de CCT de la Commission européenne (publiés le 12 novembre 2020).
Dans le fond de l'esprit de chacun se trouve l'argument pratique du gouvernement américain, ici selon lequel (a) le risque de surveillance des agences de renseignement américaines n'est pas plus grand que la surveillance des agences de renseignement d'autres pays, et est simplement théorique parce qu'elles ne sont tout simplement pas intéressées par les données de la plupart des organisations, (b) la FISA 702 et l'EO 12333 comportent des garanties appropriées en matière de procédure et de respect des droits de la défense, et (c) un exportateur de données ne trouverait pas de critères significatifs dans le droit communautaire et les lois des États membres pour évaluer la collecte d'informations à des fins de renseignement par le gouvernement américain.
Si une organisation fait l'objet d'une ordonnance en vertu de la section 702 de la loi sur la surveillance du renseignement étranger (FISA) ou du décret 12333 (EO), aucune mesure contractuelle prise par cette organisation n'éliminera les problèmes de protection de la vie privée soulevés dans Schrems II. La meilleure chose à faire est donc de minimiser ces préoccupations par l'adoption d'une ou plusieurs garanties supplémentaires.
Tout d’abord, les organisations déjà auto-certifiées au titre du Privacy Shield peuvent (et doivent) choisir de continuer à se conformer à ses exigences. Le ministère américain du commerce a fait savoir qu'il "continuera à administrer le programme Privacy Shield, y compris le traitement des demandes d'autocertification et de re-certification aux cadres Privacy Shield et la tenue à jour de la liste Privacy Shield". Il a également averti que Schrems II "ne libère pas les organisations participantes de leurs obligations dans le cadre du programme Privacy Shield ».
Deuxièmement, la plupart du temps, les organisations se tournent vers l'utilisation de clauses contractuelles types, quand bien même elles maintiennent la certification Privacy Shield.
Troisièmement, la garantie supplémentaire la plus courante est le cryptage en transit et au repos pour empêcher la surveillance gouvernementale clandestine. La question de savoir qui peut détenir la clé de cryptage est souvent négociée.
Quatrièmement, une autre mesure de sécurité supplémentaire courante consiste à obliger contractuellement l'importateur de données à informer l'exportateur de données de toute demande de données émanant du gouvernement américain. Cette mesure est similaire à une mesure de protection couramment utilisée dans les clauses de confidentialité des accords américains, mais avec les exigences supplémentaires suivantes : (i) la personne concernée, en plus de l'exportateur de données, doit avoir la possibilité de s'opposer à la demande ; et (ii) l'importateur de données lui-même doit s'opposer à la demande si des motifs juridiques existent pour une telle opposition.
Enfin, d'autres mesures de sauvegarde, qui pourraient simplement satisfaire franchement les attentes que l'importateur ajoute simplement "quelque chose", peuvent inclure l'adoption de politiques internes et d'exigences de formation pour sensibiliser de manière générale aux questions de surveillance gouvernementale.
Ces garanties semblent être alignées sur les récentes recommandations du CEPD sur les mesures visant à compléter les outils de transfert et les recommandations sur les garanties essentielles européennes pour les mesures de surveillance (toutes deux publiées le 11 novembre 2020). De même, elles sont conformes aux récents projets de CCT de la Commission européenne (publiés le 12 novembre 2020).
Dans le fond de l'esprit de chacun se trouve l'argument pratique du gouvernement américain, ici selon lequel (a) le risque de surveillance des agences de renseignement américaines n'est pas plus grand que la surveillance des agences de renseignement d'autres pays, et est simplement théorique parce qu'elles ne sont tout simplement pas intéressées par les données de la plupart des organisations, (b) la FISA 702 et l'EO 12333 comportent des garanties appropriées en matière de procédure et de respect des droits de la défense, et (c) un exportateur de données ne trouverait pas de critères significatifs dans le droit communautaire et les lois des États membres pour évaluer la collecte d'informations à des fins de renseignement par le gouvernement américain.
The Privacy Shield in the United States of America
Schrems II did not stop data transfers to the United States, but many U.S. organizations are in an impossible situation and are hoping for a political solution.
If an organization is subject to an order under Section 702 of the Foreign Intelligence Surveillance Act (FISA) or Executive Order 12333 (EO), no contractual measures taken by that organization will eliminate the privacy safeguards concerns raised in Schrems II. The next best thing to do is to minimize those concerns through the adoption of one or more additional safeguards.
First, organizations already self-certified to the Privacy Shield framework may (and should) choose to continue to comply with its requirements. The U.S. Department of Commerce has advised that it "will continue to administer the Privacy Shield program, including processing submissions for self-certification and re-certification to the Privacy Shield Frameworks and maintaining the Privacy Shield List." It also cautioned that Schrems II "does not relieve participating organizations of their Privacy Shield obligations."
Second, more often than not, organizations turn to the use of Standard Contractual Clauses, even while maintaining Privacy Shield certification.
Third, the most common additional safeguard is encryption in transit and at rest to prevent surreptitious government surveillance. The issue of who may hold the encryption key is often negotiated.
Fourth, another common additional safeguard is to contractually obligate the data importer to inform the data exporter of any data requests made by the U.S. government. This is similar to a commonly used safeguard in confidentiality clauses in U.S. agreements, but with the additional requirements that (i) the data subject, in addition to the data exporter, should have the opportunity to object to the request; and (ii) the data importer itself must object to the request if legal grounds exist for such an objection.
Finally, other safeguards that, frankly, might merely satisfy expectations that the importer just add "something" may include the adoption of internal policies and training requirements to generally raise awareness of government surveillance issues.
These safeguards appear to be aligned with the EDPB's recent recommendations on measures to supplement transfer tools and recommendations on European Essential Guarantees for surveillance measures (both issued Nov. 11, 2020). Similarly, they are consistent with the European Commission's recent draft SCCs (published Nov. 12, 2020).
In the back of everyone's mind is the U.S. government's practical argument, here, that (a) the risk of U.S. intelligence agencies' surveillance is no greater than surveillance by other countries' intelligence agencies, and is merely theoretical because they are simply not interested in most organizations' data, (b) FISA 702 and EO 12333 include appropriate procedural and due process safeguards, and (c) a data exporter would not find meaningful criteria in EU law and Member States' laws to assess the collection of information for intelligence purposes by the U.S. government.
If an organization is subject to an order under Section 702 of the Foreign Intelligence Surveillance Act (FISA) or Executive Order 12333 (EO), no contractual measures taken by that organization will eliminate the privacy safeguards concerns raised in Schrems II. The next best thing to do is to minimize those concerns through the adoption of one or more additional safeguards.
First, organizations already self-certified to the Privacy Shield framework may (and should) choose to continue to comply with its requirements. The U.S. Department of Commerce has advised that it "will continue to administer the Privacy Shield program, including processing submissions for self-certification and re-certification to the Privacy Shield Frameworks and maintaining the Privacy Shield List." It also cautioned that Schrems II "does not relieve participating organizations of their Privacy Shield obligations."
Second, more often than not, organizations turn to the use of Standard Contractual Clauses, even while maintaining Privacy Shield certification.
Third, the most common additional safeguard is encryption in transit and at rest to prevent surreptitious government surveillance. The issue of who may hold the encryption key is often negotiated.
Fourth, another common additional safeguard is to contractually obligate the data importer to inform the data exporter of any data requests made by the U.S. government. This is similar to a commonly used safeguard in confidentiality clauses in U.S. agreements, but with the additional requirements that (i) the data subject, in addition to the data exporter, should have the opportunity to object to the request; and (ii) the data importer itself must object to the request if legal grounds exist for such an objection.
Finally, other safeguards that, frankly, might merely satisfy expectations that the importer just add "something" may include the adoption of internal policies and training requirements to generally raise awareness of government surveillance issues.
These safeguards appear to be aligned with the EDPB's recent recommendations on measures to supplement transfer tools and recommendations on European Essential Guarantees for surveillance measures (both issued Nov. 11, 2020). Similarly, they are consistent with the European Commission's recent draft SCCs (published Nov. 12, 2020).
In the back of everyone's mind is the U.S. government's practical argument, here, that (a) the risk of U.S. intelligence agencies' surveillance is no greater than surveillance by other countries' intelligence agencies, and is merely theoretical because they are simply not interested in most organizations' data, (b) FISA 702 and EO 12333 include appropriate procedural and due process safeguards, and (c) a data exporter would not find meaningful criteria in EU law and Member States' laws to assess the collection of information for intelligence purposes by the U.S. government.