La Cour de justice de l’Union européenne invalide le « Privacy Shield »

Cette décision du 16 juillet 2020 met un terme à l’application du « Privacy Shield », l’accord entre l’Union européenne et les USA concernant le transfert des données d’utilisateurs européens vers les Etats-Unis.

Privacy Shield et Safe Harbor: un destin commun

Après avoir invalidé l’accord « Safe Harbor » régissant la question des transferts de données de l’Europe vers les Etats-Unis en octobre 2015, son remplaçant, l’accord « Privacy Shield » trouvé en 2016, vient d’être annulé par la justice européenne.

Privacy Shield, de quoi, s’agit-il ?

Ce dispositif est utilisé par la majorité des grandes entreprises américaines pour effectuer des traitements sur les données personnelles de leurs utilisateurs européens. Cet accord permettait en effet aux entreprises du numérique de transférer légalement les données personnelles de citoyens européens aux Etats-Unis.

Selon le Règlement général sur la protection des données (RGPD), les responsables de traitement et les sous-traitants peuvent transférer des données hors de l’Union européenne à condition toutefois d’assurer un niveau de protection des données suffisant et approprié. Ces transferts doivent être encadrés. Pour cela, ils doivent utiliser les différents outils juridiques définis par le Règlement parmi lesquels figurent des « décisions d’adéquation ». Le Privacy Shield résultait d’une décision d’adéquation conformément à l’article 45 du RGPD.

Un accord remis en cause dès son adoption

Dès son adoption en 2016, le Privacy Shield avait été attaqué par le militant autrichien de la vie privée Max Schrems, qui avait également fait annuler son prédécesseur « Safe Harbor ». Il précise que le pays n’offre pas de protection équivalente à celle de l’UE. Par conséquent, les données personnelles de citoyens européens ne devraient donc pas y être transférées. La CJUE donne raison quatre ans plus tard à Max Schrems en invalidant le Privacy Shield. Celle-ci estime que les lois américaines ne garantissent pas une protection suffisante et équivalente à la réglementation européenne.

Ce que dit la CJUE

La décision de la Cour de justice européenne ne concerne pas les transferts de données jugés « nécessaires ».
La Cour juge valide également les « Standard Contractual Clauses ». Il s’agit des clauses contractuelles types qui autorisent le transfert de données vers des sous-traitants établis hors UE. Par ailleurs, les lois de ces pays doivent être compatibles avec la réglementation européenne ou que des précautions importantes soient prises.

En définitive, la CJUE invalide l’accord global « Privacy Shield ». Cependant, elle confirme que les entreprises peuvent toutefois se conformer à la loi européenne. Pour cela, elles s’engagent individuellement, à apporter des garde-fous quant à l’usage des données de leurs utilisateurs européens. Ces clauses contractuelles doivent donc présenter un haut niveau de garanties.

Quels impacts pour les entreprises ?

Concrètement, les données personnelles des Européens ne pourront plus être traitées dans des serveurs situés sur le sol américain.
Les échanges de données ne vont pas être interrompus soudainement. Pour le moment, la décision ne s’appliquant pas aux transferts jugés « nécessaires » vers les US. Il s’agit notamment d’un envoi d’e-mail ou une réservation d’hôtel. Mais, la question des transferts de données personnelles des citoyens européens va s’avérer épineuse pour les entreprises américaines, alors que 70 % de PME semblent être impactées par cette décision, selon la présidente de la Business Software Alliance.
Les entreprises pourront se tourner vers les SCC. En revanche, le haut niveau de garantie exigé sera difficilement atteignable au regard de la législation nationale. Les entreprises auraient également la possibilité de rapatrier sur le sol européen tout traitement de données personnelles couvert par le champ de la décision, mais le chantier s’avérerait colossal.

Scroll to top