Données personnelles et invalidation du Privacy Shield : Quelles conséquences pour les entreprises ?

Données personnelles et invalidation du Privacy Shield : Quelles conséquences pour les entreprises ?

Publié le : 20/07/2020 20 juillet juil. 07 2020

Dans un arrêt rendu jeudi 16 juillet 2020 (Arrêt Schrems II), la Cour de Justice de l’Union Européenne (CJUE) a invalidé la décision 2016/1250 de la Commission Européenne relative à l’adéquation de la protection assurée par le bouclier de protection des données UE - Etats-Unis, plus couramment appelée « Privacy Shield ». Elle a cependant validé la décision 2010/87 relative aux clauses contractuelles types.

Le Privacy Shield et les clauses contractuelles types sont deux dispositifs légaux permettant le transfert des données personnelles de l’Union Européenne vers des Etats tiers.

Contexte

Plus précisément, depuis 2016, le Privacy Shield était un accord entre l’Union Européenne et les Etats-Unis qui permettait aux entreprises américaines certifiées, c’est-à-dire qui adhéraient au mécanisme du Privacy Shield, d’être reconnues par la Commission européenne comme offrant un niveau de protection adéquat des données personnelles et ainsi de pouvoir recevoir de telles données provenant de l’UE.

Le transfert de données à caractère personnel vers des entreprises américaines qui n’étaient pas certifiées était tout de même possible mais à condition que ces entreprises offrent des garanties appropriées. Ces garanties peuvent prendre la forme de clauses contractuelles types prévues par la Commission Européenne ou de règles d’entreprise contraignantes (ou « Binding Corporate Rules » – BCR). Concrétement, ces clauses types sont un mécanisme contractuel, conclu entre deux entreprises, visant à garantir que les données transférées vers un pays hors de l’Union Européenne bénéficient d’une protection équivalente à celle offerte par les dispositions du Règlement européen sur la protection des données personnelles (RGPD). 

Ces différents mécanismes de protection tendent à assurer notamment : le principe d’information, le traitement de données sensibles, le principe d’intégrité des données et de finalité du traitement, l’obligation d’assurer la sécurité des données, l’obligation de protéger les données lorsque celles-ci sont transférées à une société tierce, et l’existence effective des droits d’accès, de rectification et de suppression des données à caractère personnel qui ont été transférées.

Le mécanisme du Privacy Shield faisait suite au Safe Harbor qui portait le même principe, mais qui a été invalidé par le CJUE en 2015 (Arrêt Schrems I) suite à une plainte d’un étudiant autrichien, Max Schrems, contre Facebook considérant, au vu des révélations d’Edward Snowden sur les pratiques du renseignement américain, que les Etats-Unis n’assuraient pas un niveau de protection des données suffisant.

Le Privacy Shield avait pour ambition de garantir un meilleur niveau de protection des données personnelles par rapport au Safe Harbor. Mais ce dispositif, adopté en 2016, était jugé, par certains, comme n’offrant pas les protections suffisantes pour préserver efficacement la vie privée des internautes européens. Les lois américaines sur le renseignement, et notamment le Cloud Act, étant jugées comme trop intrusives. Le Cloud Act, promulgué en 2018, oblige les entreprises américaines à donner accès à leurs données aux autorités si celles-ci le réclame dans le cadre d’une enquête, et ce, que les données soient situées aux Etats-Unis ou à l’étranger.

Pour ces raisons, suite à une reformulation de la plainte de Max Schrems, qui maintient que les Etats-Unis n’offrent toujours pas de protection suffisante, même avec le Privacy Shield, une question préjudicielle a été posée à la CJUE.

La décision de la CJUE

Dans sa décision, la CJUE invalide le Privacy Shield car elle estime que la législation américaine en matière de protection des données n’est pas compatible avec celle de l’Union Européenne, notamment : 
  • à cause des programmes de surveillance américains, non limité au strict nécessaire,  
  • en raison de l’absence de recours effectifs aux Etats-Unis permettant aux citoyens européens de maîtriser leurs données ;
  • en l’absence de l’existence d’un médiateur indépendant, pouvant trancher un litige relatif aux données personnelles. 
La Cour n’invalide cependant pas les clauses contractuelles types, et donc les transferts des données personnelles entre l’Union Européenne et les Etats-Unis. Elle précise tout de même que leur validité est conditionnée par la présence, dans l’Etat tiers, de mécanismes effectifs permettant d’assurer un niveau de protection équivalent à celui du droit de l’UE.

Quelles conséquences pour les entreprises ?

Malgré l’invalidité du Privacy Shield, il reste la possibilité de recourir aux clauses contractuelles types, qui elles n’ont pas été invalidées, ou aux règles d’entreprises contraignantes (BCR) pour permettre le transfert des données personnelles de l’UE vers les Etats-Unis. Ainsi, les entreprises qui officiaient sous le Privacy Shield vont devoir négocier des clauses types pour pouvoir continuer à recevoir des données personnelles provenant de l’UE.

Toutefois, même si les clauses contractuelles types sont une alternative, encore faut-il qu’elles accordent des garanties suffisantes. Or, en l’état de la législation américaine, il n’est pas certain que ce soit le cas. Les Etats-Unis créeront-ils un régime spécial dans le Cloud Act pour les ressortissants de l’UE ?

Affaire à suivre… Retrouvez le replay vidéo de son interview auprès de la chaîne RT en France en cliquant ICI.
 

Historique

<< < ... 28 29 30 31 32 33 34 ... > >>
Navigateur non pris en charge

Le navigateur Internet Explorer que vous utilisez actuellement ne permet pas d'afficher ce site web correctement.

Nous vous conseillons de télécharger et d'utiliser un navigateur plus récent et sûr tel que Google Chrome, Microsoft Edge, Mozilla Firefox, ou Safari (pour Mac) par exemple.
OK