Javascript is required
logo-dastralogo-dastra

Privacy Shield - Le coup d’arrêt de la CJUE pour les transferts vers les USA

Privacy Shield - Le coup d’arrêt de la CJUE pour les transferts vers les USA
Antoine Bidault
Antoine Bidault
16 juillet 2020

1er volet de notre série sur l'arrêt Schrems II.

  1. Privacy Shield - Le coup d’arrêt de la CJUE pour les transferts vers les USA
  2. Transferts vers les USA : point d’étape sur les clauses contractuelles type de l'UE
  3. Transfert des données hors UE : les 6 étapes à suivre !

image

COUP DE TONNERRE ! La décision « bouclier de protection des données UE-États-Unis » est invalidée par la CJUE mais la décision de la Commission européenne sur les clauses types pour le transfert de données vers des sous-traitants dans des pays tiers est validée.

L’arrêt SCHREMS II

Le 16 juillet 2020, dans un arrêt SHREMS II très attendu, la Cour de justice de l’Union européenne (CJUE) a invalidé l’accord entre l’Union européenne et les Etats-Unis dit “Privacy Shield”.

Cet accord, remplaçant du précédent Safe Harbour, permettait aux entreprises américaines qui adhéraient à un protocole de règles auprès du Département du commerce américain, de transférer les données à caractère personnel de résidents européens aux Etats-Unis sans autre formalité.

La Cour s’est également prononcée sur les clauses contractuelles type de la Commission européennes qu’elle n’a pas invalidées.

L’affaire Schrems VS Facebook

L’affaire opposait, devant l’autorité de contrôle irlandaise, l’association NYOB (not in your business) représentée notamment par l’autrichien Max Schrems à Facebook, qu’elle accusait de transférer les données hors de l’UE sur la base d’instruments illicites (clauses contractuelles types) en raison du régime de surveillance applicable aux Etats-Unis.

Saisi par la Haute cour de justice irlandaise à la suite de recours préjudiciels, la CJUE a considéré que le Privacy Shield ne répondait pas aux principes énoncés par la Charte des droits fondamentaux de l’Union européenne et, au même titre que le Safe Harbour en 2015 (arrêt SCHREMS I), a invalidé l’accord.

La CJUE a également précisé que les clauses contractuelles type de la Commission européenne datant de 2010 étaient valides mais qu’il appartenait aux parties de s’assurer du niveau de protection des données dans les pays où sont exportées les données afin que celui ci garantisse le respect des principes du RGPD.

Ainsi, la Cour renvoie aux autorités de contrôle la mission de vérifier que les transferts encadrés par les clauses contractuelles type sont conformes au droit européen.

Quelles conséquences ?

Cette décision rend très compliqués les transferts de données à caractère personnel vers les USA. Les entreprises ne peuvent plus se baser sur le Privacy Shield et les clauses contractuelles type ne peuvent plus servir de garantie. En effet, l'incompatibilité est liée au régime de surveillance américain et au fait qu’il n’est pas encadré de manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.

Autrement dit, les clauses contractuelles type n’empêchent pas les Etats-Unis de dépasser le cadre protecteur européen et ainsi ne peuvent pas être utilisées. En effet, les clauses contractuelles type de 2010 instaurent une obligation pour l’exportateur des donnés et le destinataire du transfert de vérifier, au préalable, que ce niveau de protection est respecté dans le pays tiers concerné et obligent ce destinataire à informer l’exportateur des données de son éventuelle incapacité de se conformer aux clauses types de protection, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu avec le premier.

Cependant, les clauses contractuelles type restent licites pour les autres Etats dont on peut assurer le respect d’exigences équivalentes au droit de l’Union (en particulier, pour le Royaume-Uni à compter de 2021).

En pratique

Il s’agira pour les responsables de traitement de vérifier l’ensemble des transferts des données dont elles sont responsables, de s’assurer des mécanismes utilisés pour effectuer ces transferts.
Pour les USA, seules subsistent les règles contraignantes d’entreprises (BCR) mais il s’agit d’un instrument très complexe à mettre en oeuvre et généralement réservé aux grands groupes.
Des exceptions à l’interdiction de transfert peuvent également être utilisées (article 49 du RGPD), par exemple le consentement des personnes, mais en pratique, cela s’avérera très complexe.

La situation est explosive, la Commission européenne et le gouvernement américain s’y étaient préparés. Il y a fort à parier que des consignes de la part de la Commission européenne et des autorités de contrôle permettront d’accompagner les nombreux acteurs transférant des données vers les USA.

Nous ne manquerons pas de revenir dessus dans ce blog.

A propos de l'auteur
Antoine Bidault
Antoine Bidault

Directeur technique de Dastra (CTO)

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.