Données personnelles et invalidation du Privacy Shield : Quelles conséquences pour les entreprises ?
Publié le :
20/07/2020
20
juillet
juil.
07
2020
Dans un arrêt rendu jeudi 16 juillet 2020 (Arrêt Schrems II), la Cour de Justice de l’Union Européenne (CJUE) a invalidé la décision 2016/1250 de la Commission Européenne relative à l’adéquation de la protection assurée par le bouclier de protection des données UE - Etats-Unis, plus couramment appelée « Privacy Shield ». Elle a cependant validé la décision 2010/87 relative aux clauses contractuelles types.
Le Privacy Shield et les clauses contractuelles types sont deux dispositifs légaux permettant le transfert des données personnelles de l’Union Européenne vers des Etats tiers.
Contexte
Plus précisément, depuis 2016, le Privacy Shield était un accord entre l’Union Européenne et les Etats-Unis qui permettait aux entreprises américaines certifiées, c’est-à-dire qui adhéraient au mécanisme du Privacy Shield, d’être reconnues par la Commission européenne comme offrant un niveau de protection adéquat des données personnelles et ainsi de pouvoir recevoir de telles données provenant de l’UE.
Le transfert de données à caractère personnel vers des entreprises américaines qui n’étaient pas certifiées était tout de même possible mais à condition que ces entreprises offrent des garanties appropriées. Ces garanties peuvent prendre la forme de clauses contractuelles types prévues par la Commission Européenne ou de règles d’entreprise contraignantes (ou « Binding Corporate Rules » – BCR). Concrétement, ces clauses types sont un mécanisme contractuel, conclu entre deux entreprises, visant à garantir que les données transférées vers un pays hors de l’Union Européenne bénéficient d’une protection équivalente à celle offerte par les dispositions du Règlement européen sur la protection des données personnelles (RGPD).
Ces différents mécanismes de protection tendent à assurer notamment : le principe d’information, le traitement de données sensibles, le principe d’intégrité des données et de finalité du traitement, l’obligation d’assurer la sécurité des données, l’obligation de protéger les données lorsque celles-ci sont transférées à une société tierce, et l’existence effective des droits d’accès, de rectification et de suppression des données à caractère personnel qui ont été transférées.
Le mécanisme du Privacy Shield faisait suite au Safe Harbor qui portait le même principe, mais qui a été invalidé par le CJUE en 2015 (Arrêt Schrems I) suite à une plainte d’un étudiant autrichien, Max Schrems, contre Facebook considérant, au vu des révélations d’Edward Snowden sur les pratiques du renseignement américain, que les Etats-Unis n’assuraient pas un niveau de protection des données suffisant.
Le Privacy Shield avait pour ambition de garantir un meilleur niveau de protection des données personnelles par rapport au Safe Harbor. Mais ce dispositif, adopté en 2016, était jugé, par certains, comme n’offrant pas les protections suffisantes pour préserver efficacement la vie privée des internautes européens. Les lois américaines sur le renseignement, et notamment le Cloud Act, étant jugées comme trop intrusives. Le Cloud Act, promulgué en 2018, oblige les entreprises américaines à donner accès à leurs données aux autorités si celles-ci le réclame dans le cadre d’une enquête, et ce, que les données soient situées aux Etats-Unis ou à l’étranger.
Pour ces raisons, suite à une reformulation de la plainte de Max Schrems, qui maintient que les Etats-Unis n’offrent toujours pas de protection suffisante, même avec le Privacy Shield, une question préjudicielle a été posée à la CJUE.
La décision de la CJUE
Dans sa décision, la CJUE invalide le Privacy Shield car elle estime que la législation américaine en matière de protection des données n’est pas compatible avec celle de l’Union Européenne, notamment :
- à cause des programmes de surveillance américains, non limité au strict nécessaire,
- en raison de l’absence de recours effectifs aux Etats-Unis permettant aux citoyens européens de maîtriser leurs données ;
- en l’absence de l’existence d’un médiateur indépendant, pouvant trancher un litige relatif aux données personnelles.
Quelles conséquences pour les entreprises ?
Malgré l’invalidité du Privacy Shield, il reste la possibilité de recourir aux clauses contractuelles types, qui elles n’ont pas été invalidées, ou aux règles d’entreprises contraignantes (BCR) pour permettre le transfert des données personnelles de l’UE vers les Etats-Unis. Ainsi, les entreprises qui officiaient sous le Privacy Shield vont devoir négocier des clauses types pour pouvoir continuer à recevoir des données personnelles provenant de l’UE.
Toutefois, même si les clauses contractuelles types sont une alternative, encore faut-il qu’elles accordent des garanties suffisantes. Or, en l’état de la législation américaine, il n’est pas certain que ce soit le cas. Les Etats-Unis créeront-ils un régime spécial dans le Cloud Act pour les ressortissants de l’UE ?
Affaire à suivre… Retrouvez le replay vidéo de son interview auprès de la chaîne RT en France en cliquant ICI.
Historique
-
Classement DECIDEURS 2021 Technologies, internet & Télécommunications - Informatique, software & projets digitaux - Cabinet d'avocats - France
Publié le : 16/04/2021 16 avril avr. 04 2021ClassementsDomaine d'expertise / Propriété intellectuelle & Droit du numériqueVaughan Avocats, au travers de son équipe Marie-Hélène Jan, Avocat associée et Ludovic de la Monneraye, Avocat directeur, département Droit de la propriété intellectuelle & Droit du numérique, est heureux de sa mention " PRATIQUE RÉPUTÉE " dans le Classement DECIDEURS -Technologies, internet &...
-
INFOGRAPHIE : Comment mettre à jour sa politique de cookies pour conformité avec les nouvelles règles de la CNIL
Publié le : 01/04/2021 01 avril avr. 04 2021Domaine d'expertise / Propriété intellectuelle & Droit du numériqueDécryptage actualitésWebinar & infographieLes nouvelles règles sur l'utilisation des cookies imposées par la CNIL (Commission nationale de l'informatique et des libertés) entre en vigueur au 1er avril. Téléchargez cette infographie ICI conçue par Ludovic de la Monneraye , Avocat Directeur du département Droit de la propriété intellectue...
-
La lettre recommandée électronique : juridiquement valable ?
Publié le : 30/03/2021 30 mars mars 03 2021Domaine d'expertise / Propriété intellectuelle & Droit du numériqueLa lettre recommandée électronique (ci-après « LRE ») correspond à la version dématérialisée d’une lettre recommandée avec accusé de réception au format papier. La LRE permet d’expédier, depuis internet, des documents digitalisés avec date certaine, et ce 24h/27 et 7 jours/7, dans tous les doma...
-
Covid-19. Cinq questions sur l’instauration de QR code pour les restaurants et lieux culturels
Publié le : 16/03/2021 16 mars mars 03 2021Domaine d'expertise / Propriété intellectuelle & Droit du numériqueDécryptage actualitésSelon plusieurs médias, le gouvernement travaille actuellement à la mise en place d’un QR code pour pouvoir bientôt rentrer dans les restaurants, salles de sport ou lieux culturels. Mais cette arme numérique pour lutter contre l’épidémie de coronavirus est loin de faire l’unanimité. Le média...
-
Vaughan Avocats accompagne le Comité Régional du Tourisme de Bretagne (CRT Bretagne)
Publié le : 05/01/2021 05 janvier janv. 01 2021We are vaughanDomaine d'expertise / Propriété intellectuelle & Droit du numériqueA PROPOS DE L’OPERATION Le cabinet VAUGHAN AVOCATS accompagne le Comité Régional du Tourisme de Bretagne (CRT Bretagne). VAUGHAN AVOCATS a collaboré avec le CRT Bretagne en matière de droit des contrats et de droit à l’image du CRT Bretagne. L’objectif de cet accompagnement a été de permet...
-
Données personnelles et invalidation du Privacy Shield : Quelles conséquences pour les entreprises ?
Publié le : 20/07/2020 20 juillet juil. 07 2020Domaine d'expertise / Propriété intellectuelle & Droit du numériqueDans un arrêt rendu jeudi 16 juillet 2020 (Arrêt Schrems II), la Cour de Justice de l’Union Européenne (CJUE) a invalidé la décision 2016/1250 de la Commission Européenne relative à l’adéquation de la protection assurée par le bouclier de protection des données UE - Etats-Unis, plus couramment ap...