La Cour de Justice de l’Union Européenne invalide le Privacy Shield
La Cour de justice de l’Union européenne (CJUE) a annulé, jeudi 16 juillet 2020, l’accord dit « Privacy Shield » permettant aux entreprises de transférer légalement les données personnelles de citoyens européens aux Etats-Unis.
Par cet arrêt, la CJUE a rendu son verdict final dans l’affaire qui oppose depuis 7 ans Facebook à l’avocat autrichien Max Schrems. Cette décision intervient alors que le Privacy Shield avait été adopté en juillet 2016 à la suite de l’invalidation du précédent accord de transfert de données vers les Etats-Unis dénommé « Safe Harbor ».
Selon le règlement général relatif à la protection des données (RGPD), le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données.
Dans l’arrêt rendu le 16 juillet 2020, la CJUE juge que les mécanismes de surveillance mis en place aux Etats-Unis – notamment celui sur la surveillance des communications électroniques donnant des pouvoirs très larges à la NSA – ne garantissent pas une protection des données équivalente à celle offerte aux Européens par le RGPD.
Cela signifie concrètement que les données personnelles des Européens ne peuvent plus être envoyées et traitées dans des serveurs situés sur le sol américain à moins que les entreprises se conforment à la règlementation européenne en s’engageant, individuellement, à respecter certaines précautions quant à l’usage des données de leurs utilisateurs européens via des clauses contractuelles types.
L’exportateur de données a ainsi une obligation de vérification préalable du respect effectif de la protection des données dans le pays tiers. Le destinataire des données doit également informer l’exportateur de données de son éventuelle incapacité à se conformer aux clauses contractuelles types, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu.
De plus, les juges européens rappellent qu’en l’absence de décision d’adéquation valablement adoptée par la Commission, les autorités nationales de protection des données sont dans l’obligation de suspendre ou d’interdire un transfert de données si les conditions juridiques de protection des données ne sont pas réunies.
Pour les entreprises transférant des données de citoyens européens aux Etats-Unis, cette décision entraine une revue de tous les contrats existants afin d’une part de vérifier que les clauses contractuelles types déjà présentes permettent un niveau élevé de protection des données et d’autre part, d’introduire ce type de clause lorsqu’elles sont absentes des contrats.
Pour rappel, l’invalidité du Privacy Shield ne s’applique pas aux données nécessaires envoyées aux Etats-Unis comme l’envoi d’un email par exemple. De plus, cette décision ne concerne que les données personnelles des citoyens européens.
Pour plus d’informations :