RGPD : La CJUE annule le Privacy Shield

Le 16 juillet 2020, la CJUE a annulé l’accord permettant le transfert des données personnelles de l’UE vers les États-Unis dit le « Privacy Shield ». Cet accord, voté en 2016 en remplacement à l’accord Safe Harbor, lui aussi annulé, se voulait plus protecteur pour les données transférées de l’UE aux États-unis. Néanmoins, ce dispositif a été censuré. Explications.

Déroute du Privacy Shield

Le Privacy Shield se présente comme un dispositif voté par les institutions européennes afin d’encadrer le transfert des données personnelles de l’Europe vers les États-Unis. L’enjeu de ce règlement était de permettre aux entreprises américaines de traiter l’ensemble des données personnelles des citoyens de l’UE qu’elles ont recueillies. Cependant, contrairement à son prédécesseur « Safe Harbor », il se voulait plus protecteur en limitant les atteintes possibles à ces données une fois sur le sol américain.

Mais le 16 juillet 2020, la CJUE a invalidé le Privacy Shield, tout comme elle l’avait fait avec le Safe Harbor. Pour cela, les juges européens se sont fondés sur le RGPD qui doit s’appliquer à ce type d’opération également. En effet, ils ont donc retenu que le transfert ne peut être effectué si l’exportateur des données ne prévoit pas un niveau de protection équivalent à celui de l’Union. Le RGPD prévoit tout de même une exception à cette disposition, si ce dernier prévoit des garanties et si des recours effectifs sont ouverts pour les personnes concernées.

En l’occurence, la CJUE a estimé que les lois américaines ne respectait pas cette disposition puisque la NSA ou le FBI possède de larges pouvoirs de surveillance. Ces autorités peuvent intervenir sans possibilité de recours ni de contrôle de la part d’un juge sans se limiter au strict nécessaire.

Maintien des clauses types contractuelles

Bien que la CJUE ait censuré le Privacy Shield, la Cour a néanmoins validé un autre mécanisme : celui des clauses types contractuelles. Il s’agit d’un modèle de contrat arrêté par la Commission européenne, que les entreprises peuvent utiliser pour exporter des données entre elles. Par celles-ci, le transfert des données de l’UE vers les États Unis reste donc possible. Cependant les juges ont précisé la nécessité pour la société exportatrice  de s’assurer que les lois dans le pays où elle importe les données garantisse un niveau de protection suffisant par rapport au RGPD. Ainsi pour résumé, par sa décision la CJUE a invalidé le Privacy Shield qui constituait l’accord global entre l’UE et les États-Unis pour le transfert de données. Mais elle a validé la possibilité, pour les entreprises qui traitent les données personnelles, de transférer ces données si elles respectent des précautions sur leur usage une fois exporter.

Conséquences de la fin du Privacy Shield

Cette décision de la CJUE est forte mais ne signifie pas pour autant la fin totale des transferts de données personnels entre l’UE et les États-Unis. En effet, ce n’est pas applicable aux transferts d’informations nécessaires (ex : envoi d’un mail à un destinataire américain). Mais pour le reste il s’agit là d’une véritable difficulté qui va s’imposer aux entreprises si elles ne veulent pas se voir sanctionner sur le fondement du RGPD. Par ailleurs, cette arrêt va donner du travail aux différentes Cnil qui doivent, dès lors qu’il y’a un manquement au RGPD : « suspendre ou interdire un transfert de données à caractère personnel ». Leur rôle de gendarme s’en trouve donc accru.

Deshoulières Avocats conseille et défend plus de 600 acteurs économiques des nouvelles technologies. Notre cabinet vous accompagne pour toutes les questions juridiques liées aux données personnelles et au RGPD.

DEMANDER UN DEVIS GRATUIT

Référence :

• Arrêt de la CJUE du 16 juillet 2020 annulant le Privacy Shield