Données personnelles - rgpd
Lecture Article Avocat
Temps de lecture :
#
min.

L’invalidation du « Privacy Shield » par la CJUE

Publié le
24/7/2020
L’invalidation du « Privacy Shield » par la CJUE
Auteur de l'article
Maître Diane Pons
L'équipe de Call A Lawyer

Saul de Call A Lawyer

Maître Diane Pons

Avocat partenaire de Call A Lawyer
gtgmCSSgCGY43appM
Article rédigé par l'équipe de Call A Lawyer
0
Volume Appel par Avocat
Appels réalisés
1.0
Nouveau
Moyenne Note Appel Avocat
(
0
avis )
Appelez immédiatement un avocat
Démarrer un appel maintenant
Sommaire
Heading 2

 

Par un arrêt du 16 juillet 2020 « Schrems II », la Cour de Justice de l’Union Européenne (la CJUE) a notamment invalidé la décision d’exécution 2016/1250 du 12 juillet 2016 par laquelle la Commission européenne avait reconnu que le dispositif de « Privacy Shield » offrait un niveau de protection adéquat aux données personnelles transférées depuis l’Union Européenne à des entreprises établies aux Etats-Unis.

 

Qu’est-ce que le « Privacy Shield » ?

Le droit de l’Union Européenne (UE) sur la protection des données personnelles (ancienne directive 95/46 remplacée depuis mai 2016 par le RGPD) interdit par principe les transferts de données hors de l’UE. Par exception, les transferts de données vers des pays tiers sont possibles si l’entité exportatrice de données assure un niveau de protection adéquat aux données transférées.

Du point de vue de l’UE, les Etats-Unis n’offrent pas un niveau de protection adéquat notamment car il n’existe pas de législation fédérale offrant un cadre unifié à la protection des données personnelles.

Afin de faciliter les transferts de données vers les Etats-Unis, la Commission Européenne avait conclu en juillet 2000 un premier accord dit « Safe Harbor » avec le Department of Commerce du gouvernement des Etats-Unis, destiné à assurer une protection des données transférées aux Etats-Unis équivalente à celle de l’UE.

A la suite de l’invalidation du « Safe Harbor » par l’arrêt « Shrems I » de la CJUE en 2015, la Commission Européenne et le gouvernement américain avaient conclu un nouvel accord sur la protection des données appelé le « Privacy Shield » qui avait suscité, dès l’origine, de nombreuses critiques.

Les transferts de données vers les Etats-Unis étaient donc libres lorsqu’ils étaient effectués vers des entreprises qui avaient auto-certifié leur adhésion aux principes de protection des données détaillés dans le « Privacy Shield ». En revanche, les transferts de données vers d’autres entités (entreprises non certifiées ou ne relevant pas de la compétence du Department of Commerce) devaient être encadrés par d’autres outils de transfert tels que les clauses contractuelles types adoptées par la Commission Européenne ou les règles d’entreprises contraignantes (pour les transferts intra-groupe) pour n’en citer que deux.

 

Pourquoi le « Privacy Shield » a-t-il été invalidé ?

Les faits 

L’invalidation du « Safe Harbor » et du « Privacy Shield » résulte de deux plaintes déposées auprès de l’autorité de contrôle irlandaise (the Data Protection Commissioner ou « DPC ») par M. Maximillian Schrems à l’encontre de la société Facebook Ireland.

Compte tenu de l’arrêt « Shrems » de 2015 et de l’enquête subséquente du DPC qui avait révélé que Facebook Ireland fondait ses transferts de données sur un accord conclu avec Facebook Inc., le DPC avait invité M. Schrems à reformuler sa plainte initiale. Cette plainte demandait, en substance, de suspendre ou d’interdire les transferts de données aux Etats-Unis fondés sur cet accord.

La Haute Cour d’Irlande, elle-même saisie par le DPC, a sursis à statuer pour interroger la CJUE notamment sur le niveau de protection requis dans des pays tiers pour les transferts fondés sur les clauses contractuelles types et le caractère adéquat de la protection assurée par les clauses contractuelles types et par le « Privacy Shield », compte tenu de l’état du droit aux Etats-Unis.

La décision de la CJUE 

Aux termes de cet arrêt, la CJUE considère tout d’abord que le niveau de protection dans des pays tiers pour les transferts fondés sur les clauses contractuelles types est considéré comme adéquat lorsqu’il est substantiellement équivalent à celui garanti au sein de l’UE (i.e. lorsque les personnes concernées bénéficient de garanties appropriées, de droits opposables et de voies de droit effectives). Dans l’évaluation du niveau de protection, la Cour estime ainsi qu’il convient de prendre en compte les stipulations contractuelles mais également les éléments pertinents du système juridique du pays destinataire (en particulier l’éventuel accès des autorités publiques à ces données).

La Cour estime ensuite que le seul fait que les autorités publiques des Etats tiers ne soient pas liées par les clauses contractuelles types n’est pas de nature à remettre en cause la validité générale de cet outil de transfert. Elle constate également que ces clauses types prévoient des mécanismes effectifs permettant en pratique de suspendre ou d’interdire les transferts lorsque l’entité destinataire ne respecte pas ou est dans l’incapacité de respecter ces clauses, si bien que leur validité n’est pas remise en cause. En revanche, en fonction de l’état du droit de l’Etat destinataire, il appartient à l’exportateur de données d’adopter des mesures complémentaires afin d’assurer le respect d’un niveau de protection adéquat.

Incidemment, la CJUE était également amenée à apprécier la validité du « Privacy Shield », lequel constate, de manière contraignante, le caractère adéquat du niveau de protection assuré par les Etats-Unis. Sur ce point, la Cour relève que l’accès des autorités publiques aux données personnelles des personnes non-américaines ne fait l’objet d’aucune limitation et ne prévoit aucune garantie pour les personnes concernées (pas de droits opposables aux autorités américaines ni de possibilité effective de recours juridictionnel).

Au regard de l’ensemble de ces constatations, la Cour estime que les Etats-Unis n’assurent pas un niveau de protection adéquat et invalide donc entièrement, à effet immédiat, la décision de la Commission Européenne sur le « Privacy Shield ».

 

Quelles conséquences pratiques pour les entreprises ?

La seule adhésion au Privacy Shield ne suffit plus à rendre légal le transfert de données

La conséquence première de cette décision est que la seule adhésion au « Privacy Shield » des entités américaines destinataires ne suffit plus à rendre légal le transfert de données depuis l’Union Européenne.

Les entités exportatrices de données doivent donc obligatoirement, dès à présent, recourir aux autres outils d’encadrement de transfert ou entrer dans le cadre des exceptions prévues par le RGPD. A défaut, elles s’exposent à des sanctions pécuniaires particulièrement sévères (20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial).

Des mesures complémentaires afin d’assurer un niveau de protection adéquat aux données

De plus, le recours aux clauses contractuelles types comme seul outil d’encadrement des transferts de données vers les Etats-Unis est devenu pour le moins incertain. La Cour affirme en effet très clairement que lorsque l’exportateur constate que le droit de l’Etat tiers n’assure pas un niveau de protection suffisant – ce qui est manifestement le cas des Etats-Unis – ce dernier doit prendre des mesures complémentaires afin d’assurer un niveau de protection adéquat aux données transférées.

Quelles mesures ? La Cour ne le précise pas. Les autorités de contrôle européennes dont la CNIL apporteront, il faut l’espérer, rapidement des précisions car à défaut de pouvoir prendre des mesures complémentaires suffisantes, les exportateurs doivent suspendre ou mettre fin au transfert de données sous peine d’être sanctionnés.

Cependant, malgré l’application immédiate de l’arrêt, il est fort probable que les autorités européennes accordent un moratoire aux entreprises pour mettre en conformité leurs transferts aux Etats-Unis.

Par ailleurs, si cette décision ne concerne que les Etats-Unis, elle impacte plus globalement les transferts de données vers des pays ne bénéficiant pas d’une décision d’adéquation tels que la Chine ou la Russie ou tout autre Etat ayant un système national de surveillance intrusif.

Pour l’heure, les entreprises françaises qui transféraient des données aux Etats-Unis sur le fondement du « Privacy Shield » doivent a minima conclure des clauses contractuelles types avec les entités destinataires américaines et… guetter les prochaines publications de la CNIL.

 

Partager cet article

Ce que vous devriez lire ensuite

Comment obtenir le Passeport Talent - Chercheur en France ?
Droit des étrangers
Droit des étrangers
Publié le
26/12/2023

Comment obtenir le Passeport Talent - Chercheur en France ?

Les étapes pour obtenir un Passeport talent en tant qu'investisseur en France
Droit des étrangers
Droit des étrangers
Publié le
10/12/2023

Les étapes pour obtenir un Passeport talent en tant qu'investisseur en France

Mettre son logement sur Airbnb : conseils et réglementations
Droit immobilier
Droit immobilier
Publié le
30/10/2023

Mettre son logement sur Airbnb : conseils et réglementations

Call A Lawyer
Blog
Maître Diane Pons
L’invalidation du « Privacy Shield » par la CJUE

Call A Lawyer est une société spécialisée dans la mise en relation entre avocats et justiciables pour du conseil juridique. Respectueuse du RGPD et signataire de la Charte Éthique pour un marché du droit en ligne et ses acteurs (OpenLaw). Tous nos avocats sont tenus par le secret professionnel. Les échanges sont protégés et ne feront l’objet d’aucune divulgation.

Lien de Call A Lawyer sur FacebookLien de Call A Lawyer sur YouTubeLien de Call A Lawyer sur InstagramLien de Call A Lawyer sur LinkedIn
À propos
Découvrir nos engagements
Nos tarifs
Blog
Vous êtes avocat ?
Découvrir Call A lawyer
Créer mon profil CAL
Contact

36 Rue Charcot
75013 PARIS
+33 1 76 44 03 06

Mentions légales
CGUV (Client)
CGU (Avocat)
Confidentialité
Cookies
Référencement
Consommateurs