Le 16 juillet 2020, la CJUE a annulé l’accord permettant le transfert des données personnelles de l’UE vers les États-Unis dit le « Privacy Shield ». Cet accord, voté en 2016 en remplacement à l’accord Safe Harbor, lui aussi annulé, se voulait plus protecteur pour les données transférées de l’UE aux États-unis. Néanmoins, ce dispositif a été censuré. Explications.
Déroute du Privacy Shield
Le Privacy Shield se présente comme un dispositif voté par les institutions européennes afin d’encadrer le transfert des données personnelles de l’Europe vers les États-Unis. L’enjeu de ce règlement était de permettre aux entreprises américaines de traiter l’ensemble des données personnelles des citoyens de l’UE qu’elles ont recueillies. Cependant, contrairement à son prédécesseur « Safe Harbor », il se voulait plus protecteur en limitant les atteintes possibles à ces données une fois sur le sol américain.
Mais le 16 juillet 2020, la CJUE a invalidé le Privacy Shield, tout comme elle l’avait fait avec le Safe Harbor. Pour cela, les juges européens se sont fondés sur le RGPD qui doit s’appliquer à ce type d’opération également. En effet, ils ont donc retenu que le transfert ne peut être effectué si l’exportateur des données ne prévoit pas un niveau de protection équivalent à celui de l’Union. Le RGPD prévoit tout de même une exception à cette disposition, si ce dernier prévoit des garanties et si des recours effectifs sont ouverts pour les personnes concernées.
En l’occurence, la CJUE a estimé que les lois américaines ne respectait pas cette disposition puisque la NSA ou le FBI possède de larges pouvoirs de surveillance. Ces autorités peuvent intervenir sans possibilité de recours ni de contrôle de la part d’un juge sans se limiter au strict nécessaire.
Maintien des clauses types contractuelles
Bien que la CJUE ait censuré le Privacy Shield, la Cour a néanmoins validé un autre mécanisme : celui des clauses types contractuelles. Il s’agit d’un modèle de contrat arrêté par la Commission européenne, que les entreprises peuvent utiliser pour exporter des données entre elles. Par celles-ci, le transfert des données de l’UE vers les États Unis reste donc possible. Cependant les juges ont précisé la nécessité pour la société exportatrice de s’assurer que les lois dans le pays où elle importe les données garantisse un niveau de protection suffisant par rapport au RGPD.
Ainsi pour résumé, par sa décision la CJUE a invalidé le Privacy Shield qui constituait l’accord global entre l’UE et les États-Unis pour le transfert de données. Mais elle a validé la possibilité, pour les entreprises qui traitent les données personnelles, de transférer ces données si elles respectent des précautions sur leur usage une fois exporter.
Conséquences de la fin du Privacy Shield
Cette décision de la CJUE est forte mais ne signifie pas pour autant la fin totale des transferts de données personnels entre l’UE et les États-Unis. En effet, ce n’est pas applicable aux transferts d’informations nécessaires (ex : envoi d’un mail à un destinataire américain). Mais pour le reste il s’agit là d’une véritable difficulté qui va s’imposer aux entreprises si elles ne veulent pas se voir sanctionner sur le fondement du RGPD.
Par ailleurs, cette arrêt va donner du travail aux différentes Cnil qui doivent, dès lors qu’il y’a un manquement au RGPD : « suspendre ou interdire un transfert de données à caractère personnel ». Leur rôle de gendarme s’en trouve donc accru.
Deshoulières Avocats conseille et défend plus de 600 acteurs économiques des nouvelles technologies. Notre cabinet vous accompagne pour toutes les questions juridiques liées aux données personnelles et au RGPD.
NOUS RESPECTONS VOTRE VIE PRIVÉE 🔒
Nous utilisons des cookies pour optimiser la navigation, analyser le trafic et cibler la publicité. Pour en savoir plus, consultez notre politique de confidentialité.
Fonctionnel
Toujours activé
Le stockage ou l’accès technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
Le stockage ou l’accès technique est nécessaire pour créer des profils d’utilisateurs afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.