Données personnelles et invalidation du Privacy Shield : Quelles conséquences pour les entreprises ?
Publié le :
20/07/2020
20
juillet
juil.
07
2020
Dans un arrêt rendu jeudi 16 juillet 2020 (Arrêt Schrems II), la Cour de Justice de l’Union Européenne (CJUE) a invalidé la décision 2016/1250 de la Commission Européenne relative à l’adéquation de la protection assurée par le bouclier de protection des données UE - Etats-Unis, plus couramment appelée « Privacy Shield ». Elle a cependant validé la décision 2010/87 relative aux clauses contractuelles types.
Le Privacy Shield et les clauses contractuelles types sont deux dispositifs légaux permettant le transfert des données personnelles de l’Union Européenne vers des Etats tiers.
Contexte
Plus précisément, depuis 2016, le Privacy Shield était un accord entre l’Union Européenne et les Etats-Unis qui permettait aux entreprises américaines certifiées, c’est-à-dire qui adhéraient au mécanisme du Privacy Shield, d’être reconnues par la Commission européenne comme offrant un niveau de protection adéquat des données personnelles et ainsi de pouvoir recevoir de telles données provenant de l’UE.
Le transfert de données à caractère personnel vers des entreprises américaines qui n’étaient pas certifiées était tout de même possible mais à condition que ces entreprises offrent des garanties appropriées. Ces garanties peuvent prendre la forme de clauses contractuelles types prévues par la Commission Européenne ou de règles d’entreprise contraignantes (ou « Binding Corporate Rules » – BCR). Concrétement, ces clauses types sont un mécanisme contractuel, conclu entre deux entreprises, visant à garantir que les données transférées vers un pays hors de l’Union Européenne bénéficient d’une protection équivalente à celle offerte par les dispositions du Règlement européen sur la protection des données personnelles (RGPD).
Ces différents mécanismes de protection tendent à assurer notamment : le principe d’information, le traitement de données sensibles, le principe d’intégrité des données et de finalité du traitement, l’obligation d’assurer la sécurité des données, l’obligation de protéger les données lorsque celles-ci sont transférées à une société tierce, et l’existence effective des droits d’accès, de rectification et de suppression des données à caractère personnel qui ont été transférées.
Le mécanisme du Privacy Shield faisait suite au Safe Harbor qui portait le même principe, mais qui a été invalidé par le CJUE en 2015 (Arrêt Schrems I) suite à une plainte d’un étudiant autrichien, Max Schrems, contre Facebook considérant, au vu des révélations d’Edward Snowden sur les pratiques du renseignement américain, que les Etats-Unis n’assuraient pas un niveau de protection des données suffisant.
Le Privacy Shield avait pour ambition de garantir un meilleur niveau de protection des données personnelles par rapport au Safe Harbor. Mais ce dispositif, adopté en 2016, était jugé, par certains, comme n’offrant pas les protections suffisantes pour préserver efficacement la vie privée des internautes européens. Les lois américaines sur le renseignement, et notamment le Cloud Act, étant jugées comme trop intrusives. Le Cloud Act, promulgué en 2018, oblige les entreprises américaines à donner accès à leurs données aux autorités si celles-ci le réclame dans le cadre d’une enquête, et ce, que les données soient situées aux Etats-Unis ou à l’étranger.
Pour ces raisons, suite à une reformulation de la plainte de Max Schrems, qui maintient que les Etats-Unis n’offrent toujours pas de protection suffisante, même avec le Privacy Shield, une question préjudicielle a été posée à la CJUE.
La décision de la CJUE
Dans sa décision, la CJUE invalide le Privacy Shield car elle estime que la législation américaine en matière de protection des données n’est pas compatible avec celle de l’Union Européenne, notamment :
- à cause des programmes de surveillance américains, non limité au strict nécessaire,
- en raison de l’absence de recours effectifs aux Etats-Unis permettant aux citoyens européens de maîtriser leurs données ;
- en l’absence de l’existence d’un médiateur indépendant, pouvant trancher un litige relatif aux données personnelles.
Quelles conséquences pour les entreprises ?
Malgré l’invalidité du Privacy Shield, il reste la possibilité de recourir aux clauses contractuelles types, qui elles n’ont pas été invalidées, ou aux règles d’entreprises contraignantes (BCR) pour permettre le transfert des données personnelles de l’UE vers les Etats-Unis. Ainsi, les entreprises qui officiaient sous le Privacy Shield vont devoir négocier des clauses types pour pouvoir continuer à recevoir des données personnelles provenant de l’UE.
Toutefois, même si les clauses contractuelles types sont une alternative, encore faut-il qu’elles accordent des garanties suffisantes. Or, en l’état de la législation américaine, il n’est pas certain que ce soit le cas. Les Etats-Unis créeront-ils un régime spécial dans le Cloud Act pour les ressortissants de l’UE ?
Affaire à suivre… Retrouvez le replay vidéo de son interview auprès de la chaîne RT en France en cliquant ICI.
Historique
-
La rémunération du salarié détaché et le détachement de longue durée en France depuis le 30 juillet 2020
Publié le : 12/08/2020 12 août août 08 2020Domaine d'expertise / Mobilité internationaleSynthèse Le 30 juillet 2020, l’ Ordonnance n°2019-116 du 20 février 2019 et le Décret n°2020-916 du 28 juillet 2020 sont entrés en vigueur. Depuis cette date, le principe, « à travail égal, salaire égal » est consacré : le salarié détaché doit bénéficier de la même rémunération (salaire, pr...
-
Entrée en vigueur des nouvelles règles relatives aux travailleurs détachés et nouveau décret du 28 juillet 2020.
Publié le : 31/07/2020 31 juillet juil. 07 2020Domaine d'expertise / Mobilité internationaleLes règles en matière de détachement de travailleurs effectués dans le cadre d’une prestation de service et de lutte contre la concurrence déloyale sont précisées par un décret du 28 juillet 2020 (Décret n° 2020-916 du 28/07/2020 - JORF du 29/07/2020 ). Depuis le 30 juillet 2020, de nouvelles...
-
Données personnelles et invalidation du Privacy Shield : Quelles conséquences pour les entreprises ?
Publié le : 20/07/2020 20 juillet juil. 07 2020Domaine d'expertise / Propriété intellectuelle & Numérique (IP / IT)Dans un arrêt rendu jeudi 16 juillet 2020 (Arrêt Schrems II), la Cour de Justice de l’Union Européenne (CJUE) a invalidé la décision 2016/1250 de la Commission Européenne relative à l’adéquation de la protection assurée par le bouclier de protection des données UE - Etats-Unis, plus couramment ap...
-
WEBINAR Les procédures collectives : ne pas en avoir peur et savoir saisir les opportunités
Publié le : 09/07/2020 09 juillet juil. 07 2020We are vaughanDécryptage actualitésWebinar & infographieVous avez été 290 inscrits au Webinar organisé par BPI France Université le jeudi 9 juillet. À PROPOS DE CE WEBINAR : Dépôt de bilan, faillite, liquidation judiciaire, « Les procédures collectives » ont souvent une image négative vis à vis des dirigeants d’entreprise. Elles permettent pourtan...