Le Privacy Shield est un mécanisme juridique visant à sécuriser les transferts de données personnelles entre l’Union européenne (UE) et les Etats-Unis. Il vient d’être invalidé par la Cour de justice de l’Union européenne (CJUE).
Adopté pour succéder au Safe Harbor, qui avait lui-même été invalidé par la CJUE, le Privacy Shield avait été instauré par décision de la Commission européenne (décision 2016/1250 du 12 juillet 2016 ; faisant suite à CJUE, 6 octobre 2015, C-361/14).
Les motifs de la décision de la CJUE
La CJUE invalide le Privacy Shield en raison, d'une part, des garanties insuffisantes du programme de surveillance américain en matière de protection des données à caractère personnel et, d'autre part, du fait de l'insuffisance de la protection juridictionnelle des individus en cas de violation de leurs droits à la protection de leurs données.
La règlementation américaine permet, pour des raisons de sécurité nationale et d’intérêt public, l’accès aux données transférées depuis l’UE et leur utilisation par les autorités américaines, sans limiter ces accès au strict nécessaire ni offrir aux personnes des droits opposables aux autorités américaines. Elle contredit ainsi les droits et garanties offerts par le droit de l’UE.
Le mécanisme de médiation instauré par le Privacy Shield ne fournit pas aux personnes dont les données personnelles sont transférées vers les Etats-Unis une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises par le droit de l’UE. En effet, l’indépendance du médiateur en charge des litiges dans le cadre du Privacy Shield n’est pas assurée et celui-ci ne peut pas adopter de décisions contraignantes à l’égard des autorités de renseignement américaines.
En conséquence, les transferts de données à destination des Etats-Unis réalisés sur le fondement du Privacy Shield sont désormais illicites.
Qu’en est-il des autres mécanismes de transfert de données à destination d’Etats tiers à l’UE ?
Les clauses contractuelles types permettant les transferts de données à caractère personnel vers des sous-traitants établis dans des pays tiers demeurent conformes au droit de l’UE.
- La CJUE constate que la décision 2010/87 du 5 février 2010 de la Commission européenne relative aux clauses-types prévoit des mécanismes efficaces permettant de suspendre ou d’interdire les transferts en cas de violation des clauses et d’assurer que le niveau de protection des données requis par le droit de l’UE est respecté.
Quelles conséquences pratiques ?
En pratique, à défaut d’avoir mis en place d’autres garanties, il conviendra d’utiliser les clauses-types pour encadrer les traitements qui étaient jusqu’alors transmis en vertu du Privacy Shield.
Deux rappels essentiels sont réalisés par la CJUE et impliquent une vigilance accrue des opérateurs économiques :.
- la validité de principe des clauses-types reste conditionnée : les exportateurs et les destinataires de données doivent s’assurer, préalablement au transfert, que le niveau de protection des pays tiers destinataires des données est suffisant. En conséquence, les responsables de traitement, en particulier, devront renforcer leurs procédures d’évaluation de la protection des données assurée par la législation du pays où les données doivent être transférées et suspendre les transferts de données, voire résilier le contrat les liant aux destinataires, s’il est constaté que le niveau n'est pas équivalent à celui garanti par la législation européenne.
- il revient aux autorités nationales de contrôle de décider de suspendre ou d'interdire un transfert de données encadré par ces clauses contractuelles types vers un pays tiers si, de l'avis de l'autorité compétente et compte tenu de toutes les circonstances du transfert, ces dernières ne sont pas ou ne peuvent pas être respectées dans ce pays tiers, et si la protection des données transférées ne peut être assurée par d'autres moyens.
Le transfert de données à caractère personnel vers les Etats-Unis est-il toujours possible ?
La réponse à cette question est sujette à discussion. Si les clauses-types restent en principe valables, il ne peut être exclu qu’une autorité nationale de protection décide la suspension de traitements fondés sur ces clauses, eu égard aux principaux dysfonctionnements de la règlementation américaine sur lesquels la CJUE fonde sa décision d’invalidation du Privacy Shield. Les autorités nationales de protection des données devraient vraisemblablement renforcer leur vigilance et procéder à des contrôles sur cet aspect très spécifique de la règlementation européenne.
Dans un communiqué du 17 juillet 2020, la CNIL a indiqué avoir pris connaissance de l’arrêt rendu par la CJUE et l’étudier en détail, en collaboration avec les autres autorités nationales des Etats membres de l’UE, afin d’en tirer les conséquences qui s’imposent pour les transferts de données de l’UE vers les États-Unis. Les différentes autorités devraient certainement s’entendre sur une conclusion commune car le transfert international de données est un pan de la règlementation européenne harmonisé entre les Etats membres. La CJUE a souligné l’importance d’assurer une application cohérente et uniforme du droit dans l'ensemble de l'Espace économique européen.
Bien que relative aux transferts de données entre les Etats-Unis et l’UE, cette décision a un impact sur tout transfert vers des pays ne bénéficiant pas d’une décision d’adéquation, tels que la Chine, l’Inde, la Russie, etc., et tout Etat ayant un système national de surveillance intrusif.
Actualité du Droit de la propriété intellectuelle :
Cet article a été publié dans notre Lettre Propriétés Intellectuelles de juillet 2020. Découvrez les autres articles de cette lettre.
Technologie, Media et Communication dans notre cabinet d’avocats :
Si les avancées technologiques constituent de formidables opportunités, elles sont également un vecteur de risques pour les entreprises. Dans cet environnement évolutif, notre cabinet d’avocats met à votre disposition sa fine compréhension des nouvelles technologies, son expertise reconnue en matière de propriété intellectuelle ainsi que sa parfaite maîtrise du droit des contrats.
_840x420.jpg?v=3)
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.