LE « PRIVACY SHIELD » ANNULE PAR LA CJUE

La Cour de Justice de l’Union Européenne (CJUE) annule ce 16 juillet 2020 le « Privacy Shield ». Il s’agit d’un accord auquel adhérent les entreprises américaines pour assurer que le transfert de données à caractère personnel entre elles et l’Europe respecte le RGPD. Cette annulation a donc pour conséquence de rendre illicites ces transferts…pourquoi ? que doit-on faire ?



LE « PRIVACY SHIELD » ANNULE PAR LA CJUE Par Yaël COHEN-HADRIA, Avocat
2020-07-20
Adresse de l'article original :
https://www.ych-avocats.fr//actualites/242-LE-PRIVACY-SHIELD-ANNULE-PAR-LA-CJUE.html
Reproduction interdite sans autorisation de l'auteur.

Rappel : d’où vient le Privacy Shield ?

Le RGPD protège les données à caractère personnel des personnes situées en Union européenne. Ainsi il est par principe interdit de transférer des données vers des pays qui ne respectent pas le RGPD.

Les Etats-Unis ne respectent pas le RGPD. Donc tout transfert vers les Etats-Unis est par principe interdit, SAUF SI l’entreprise située aux Etats-Unis (article 46 du RGPD) :

·       adhère au Privacy Shield (conditions obselète depuis le 16 juillet 2020)

·       signe des Clauses contractuelles types validées par la Commission Européenne

·       adhère à des Règles internes d’entreprises (Binding Corporate Rules - BCR) validées par les autorités compétentes et mise en place par le Groupe auquel appartient l’entreprise.

Dès lors, le Privacy Shield était un mécanisme d’autocertification qui était jusqu’ici considéré comme une « garantie adéquate » au regard du RGPD pour permettre aux entreprises européennes de transférer des données depuis l’Europe vers les États-Unis sans autre formalité.

Pourquoi le Privacy Shield est-il annulé ?

Le Privacy Shield faisait suite à un autre mécanisme qui s’appelait le Safe Harbor. Mais en 2015 la CJUE avait déjà annulé un accord équivalent au Privacy Shield qui s’appelait le Safe Harbor https://www.ych-avocats.fr/actualites/69-QUE-DEVIENT-LE-SAFE-HARBOR-.html.

Apparemment les Etats-Unis n’ont pas retenu la leçon et aujourd’hui c’est au tour du Privacy Shield de tomber.

En effet, dans une décision du 16 juillet 2020[1], la Cour européenne de justice (CJUE) a annoncé l’annulation du « bouclier de protection des données » Privacy Shield, qui établit les règles de transfert de données entre l’Union européenne et les États-Unis.

Ce n’est pas certes pas très étonnant car dès sa naissance, le Privacy Shield était très critiqué. Le Groupe des Cnil européennes (G29 aujourd’hui Comité Européen à la Protection des Données – CEPD) et les associations de défense des libertés dans le numérique avaient immédiatement repéré les lacunes de ce texte d’autocertification.

La CJUE a donné raison au CEPD et aux associations suite à une plainte de l’activiste autrichien Max Schrems auprès de l’autorité de contrôle irlandaise. Cette plainte a révélé le déséquilibre entre les règles imposées par le Privacy Shield et le manque de protection suffisant de la part des États-Unis concernant le traitement des données.

En conséquence la CJUE confirme que la décision 2016/1250 instaurant le Privacy Shield car ses dispositions ne respectent pas le Règlement Général sur la Protection des Données.

 

Motivation de l'annulation :

Cette décision vient mettre en exergue l’incompatibilité des dispositions américaines relatives aux enjeux de sécurité nationale et des programmes de surveillance avec les droits fondamentaux européens.

Deux principales raisons :

Violation du principe de proportionnalité

La CJUE a considéré que les Etats-Unis ne respectent pas le RGPD car ils donnent une primauté à leurs intérêts, sans limite suffisamment claires. Ainsi le Privacy Shield viole le principe de proportionnalité qui devait assurer une adéquation entre les mesures de protection imposées par le RGPD dans l’Union européenne et celles qui doivent être prévues par les États-Unis. Selon la CJUE :

·       « de telles données transférées depuis l’Union européenne vers ce pays tiers (les États-Unis) (…), ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire ».

Violation du droit des personnes sur leurs données

Le Privacy Shield était censé assurer une protection juridictionnelle des citoyens en faisant la demande « ne fournit pas à ces personnes une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises par l’Union (…) ». 

 

Quelles sont les conséquences désormais ?

Impact sur les entreprises qui envoient leurs données vers les Etats-Unis :

Cette décision va avoir un impact très important sur la plupart des organisations au niveau international. En effet, le Privacy Shield était un mécanisme très utilisé par les entreprises américaines telles que Google, Amazon, Salesforce, Microsoft etc… Des entreprises auxquelles la grande majorité des acteurs européens travaillent…

En invalidant le Privacy Shield, tous transfert vers ces entreprises est illicite.

Le risque de sanction en cas de transfert de données à caractère personnel sans la mise en œuvre de garanties adéquates va jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires de l’entreprise …. Il est donc essentiel de se mettre rapidement en conformité.

Il est impératif de mettre en place de nouveaux mécanismes, moins « fragiles » tels que les clauses types prévues qui permettent, aux côtés des règles d’entreprise contraignantes (ou BCR) d’assurer un transfert légal des données vers les États-Unis.

Plan d’actions pour les entreprises qui envoient des données vers les Etats-Unis :

 

Il est essentiel de se mettre le plus rapidement possible en conformité !

 

N’hésitez pas à nous contacter si vous souhaitez en savoir plus ou pour un accompagnement global sur la conformité de vos projets : contact.ntic@marvellavocats.com

Lien vers nos formations pour tout savoir sur la conformité RGPD et les actualités de la CNIL : https://marvellavocats.com/fr/formation


Prochaines formations

17 mars 2016
Tendances du numérique

3 mars 2016
STRATEGIE DIGITALE : Exploitez vos données en conformité avec la loi Informatique et libertés

8 et 9 février 2016
Maîtriser les enjeux de la loi Informatique et libertés

30 novembre 2015
Conditions Générales de Vente

5 et 6 Octobre 2015
Big data et Open data

30 Septembre et 1er Octobre 2015
Big data et Open data