+33 (0)4 42 70 07 03

Retour à la liste

PINT Avocats Newsletter Juillet 2020 : Remise en cause du Privacy Shield par la CJUE (sans surprise)

 

Newsletter PINT Avocats 

Les transferts de données personnelles vers les Etats-Unis de nouveau remis en cause

Le 16 juillet 2020, la Cour de Justice de l’Union européenne (CJUE) a invalidé la décision de la Commission européenne relative au « Privacy Shield ».

  • Le Privacy Shield, c’est quoi ?

L’article 46 du Règlement européen pour la protection des données (RGPD) encadre les transferts de données personnelles en dehors de l’Union européenne.

Ces transferts ne sont possibles que s’ils comportent des garanties suffisantes, c'est-à-dire :

  1. Vers un pays reconnu comme offrant un niveau de protection adéquat en vertu d’une décision de la Commission européenne ;
  2. La conclusion de clauses contractuelles types avec le destinataire des données, approuvées par la Commission Européenne (il s’agit de modèles types de contrats) ;
  3. S’ils sont encadrés par des règles d’entreprise contraignantes (BCR en anglais), qui sont un code de conduite définissant la politique d'une entreprise en matière de transferts de données personnelles approuvé ;
  4. S’ils sont autorisés par la CNIL lorsque sont conclues des clauses contractuelles spécifiques avec le destinataire des données dans le pays tiers.

Le « Privacy Shield » était un dispositif auquel pouvaient adhérer les entreprises américaines, sur la base d’une auto-certification, permettant le transfert des données vers celles-ci en vertu du point 1.

En effet, la Commission européenne avait considéré que les transferts vers les entreprises adhérant au Privacy Shield répondaient à la condition de protection suffisante, en se basant notamment sur certains engagements du gouvernement américain.

Il faut noter que le Privacy Shield, adopté en 2016, succédait au « Safe Harbour », un mécanisme permettant les transferts de données vers les Etats-Unis qui a lui aussi été invalidé par la CJUE le 6 octobre 2015.

 

  • Pourquoi une remise en cause de la décision relative au Privacy Shield ?

Dès son origine, le Privacy Shield a été critiqué par les défenseurs de la protection des données personnelles, en raison des risques que représentent les transferts vers les Etats-Unis, du fait d’un accès possible par le gouvernement américain à ces données (notamment en application du Cloud Act). Celui-ci offrait néanmoins une garantie de façade permettant la conformité juridique du transfert de données.

La décision de la CJUE du 16 juillet 2020 a été rendue à la suite d’une plainte d’un autrichien, Max Shrems, contre Facebook devant l’autorité de contrôle irlandaise, pour faire interdire les transferts de données vers les Etats-Unis en raison de l’absence de protection suffisante de ses données contre les activités de surveillance pratiquées par les autorités publiques américaines (notamment NSA et FBI), sans contrôle ou recours effectif. Cela faisait suite notamment aux révélations du lanceur d'alerte Edward Snowden.

 

  • La décision de la CJUE en résumé

Concernant le Privacy Shield, la CJUE a relevé que les engagements de conformité des entreprises américaines y adhérant pouvaient être limités par « les exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation ».

La primauté de ces exigences sur les principes de protection des données sont incompatibles avec le RGPD, en raison des ingérences qui peuvent être réalisées dans les droits et libertés des personnes, notamment le droit au respect de la vie privée. Ces ingérences ne pas suffisamment encadrées par des limitations et garanties et la protection juridictionnelle des individus est insuffisante.

En revanche, la CJUE valide les clauses contractuelles types adoptées par la commission (mécanisme correspondant au point 2 ci-dessus). Elle précise toutefois que dans l’appréciation des transferts de données hors UE, les autorités de contrôle (telles que la CNIL) doivent prendre en considération non seulement les clauses conclues entre les parties mais aussi les éléments du système juridique du pays de destination, les modalités d’accès par les autorités aux données personnelles, …

Ainsi, l’autorité de contrôle est tenue de suspendre ou interdire un transfert lorsqu’il apparaît qu’en réalité, les engagements prévus dans ces clauses ne peuvent être respectés et que la protection des données dans le pays serait insuffisante.

 

  • Quelles conséquences ?

Beaucoup de transferts de données vers les Etats-Unis, notamment ceux qui sont réalisés par vos prestataires ou sous-traitants américains sont fondés sur le Privacy Shield. Ces transferts ne sont désormais plus valables.

Attention, cela concerne notamment les grandes entreprises américaines, mais également les PME, qui représentent 70% des 5 300 entreprises qui avaient adhéré au Privacy Shield.

Il conviendra que les grandes entreprises américaines revoient leur copie pour mettre en place des mécanismes plus protecteurs des données personnelles pour pouvoir continuer à proposer leurs serveurs aux entreprises et aux individus européens en toute légalité.

Concernant vos pratiques, nous ne pouvons que continuer de vous recommander de faire appel en priorité à des entreprises européennes et de bien réfléchir aux outils que vous utilisez dans le cadre du traitement des données de votre entreprise.

En cas de transferts de données vers les Etats-Unis, il faudra être particulièrement vigilant sur les clauses proposées par les entreprises…

Max Shrems, quant à lui, estime que « les États-Unis devront engager une sérieuse réforme de la surveillance pour revenir à un statut privilégié pour les entreprises américaines » leur permettant de transférer des données...A suivre ? (lol)

 

http://curia.europa.eu/juris/document/document.jsf;jsessionid=E884FA00D6808AA97D9AC5E8E3C455B4?text=&docid=228677&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=9967713