Dernières actualités

17juil

La CJUE invalide le Privacy Shield

La CJUE invalide le Privacy Shield

Par un arrêt du 16 juillet 2020 (CJUE, 16 juillet 2020, C-311/18 Data Protection Commissioner contre Facebook Ireland Limited et Maximillian Schrem), la CJUE invalide le Privacy Shiel permettant le transfert de données personnelles vers les États-Unis.

Petite explication.

Dans l'UE, la législation assure une protection forte des données personnelles de toutes personnes, aujourd'hui par le RGPD. Cette protection n'est pas aussi forte dans les autres États du monde.
Lorsque des données personnelles de citoyens UE sont stockées, transférées ou traitées en dehors de l'UE, un formalisme lourd est mis en place, afin de s'assurer du respect de la législation.

Plusieurs mécanismes ont ainsi été mis en œuvre :

- Les BCR (Building Corporate Rules) permettent aux entités d'un même groupe de s'échanger des données personnelles sur les salariés, les clients ou les prospects, dès lors que les BCR ont été validées par une Autorité compétente (la CNIL pour la France).

- Des clauses contractuelles types ont été rédigées par la Commission européenne. La signature de ces clauses par le contractant étranger permet, après validation de l'Autorité compétente, l'échange de données à caractère personnel.

- Lorsque le transfert se fait dans un pays qui « assure un niveau de protection adéquat », les conditions du transfert sont les mêmes que dans l'UE.

C'est dans ce dernier cadre qu'était intervenu le Safe Harbor, un accord entre les États-Unis et la Commission européenne considérant que les États-Unis assuraient un niveau de protection adéquat. Cette décision a toutefois été invalidée par la CJUE le 6 octobre 2015. Depuis, la Commission Européenne et les États-Unis ont adopté le Privacy Shield. Par ce nouvel accord, les entreprises qui traitent des données personnelles sur le territoire américain doivent s'inscrire auprès du ministère américain du commerce et s'engager à respecter le droit des données personnelles. Il est possible de voir les entreprises enregistrées sur le site : www.privacyshield.gov. Les autorités publiques américaines se sont également engagées à limiter leurs demandes d'accès aux données stockées aux États-Unis aux seules raisons de sécurité nationale. Cette précision arrive en réponse à l'espionnage massif révélé par M. SNOWDEN et aux dérives critiquées de l'US PATRIOT ACT qui permettait à toute agence fédérale (FBI, CIA…) d'accéder à une base de données quelconque, sans aucun contrôle judiciaire. Ainsi, la sécurité des données traitées ou stockées aux États-Unis était, jusqu'au 15 juillet 2020, assurée, même si certaines craintes ont existé depuis l'arrivée du Président TRUMP (sa première version du décret sur l'immigration allait à l'encontre du Privacy Shield).

Par son arrêt du 16 juillet 2020, la CJUE récidive et invalide une nouvelle fois l'accord passé entre la Commission Européenne et les États-Unis.

La CJUE estime précisément que "le droit de ce pays tiers ne prévoit pas les limitations et les garanties nécessaires à l'égard des ingérences autorisées par sa réglementation nationale et n'assure pas non plus une protection juridictionnelle effective contre de telles ingérences". Il est notamment pointé du doigt les programmes de surveillance américains.

En revanche, la CJUE valide les clauses contractuelles types établies par la Commission pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers.

Ainsi, si une entreprise se fondait aujourd'hui sur le Privacy Shield pour justifier de son respect de la législation en matière de données personnelles, elle se retrouve désormais dans l'illégalité. Il faut se retourner au plus vite vers les clauses contractuelles types en attendant un nouvel accord entre la Commission Européenne et les États-Unis.

Pour ces différentes raisons, nous conseillons toujours à nos clients de stocker leurs données dans l'Union Européenne et par des entreprises de l'Union Européenne. Il y a des entreprises françaises qui font cela très bien !

Mickaël Macé

Partager :
Retour aux actualités