Invalidation du « Privacy Shield » : la CNIL et ses homologues vont analyser ses conséquences

La Cour de justice de l’Union européenne (CJUE) a annoncé, jeudi 16 juillet 2020, l’invalidation de l’accord dit « Privacy Shield » qui permettait le transfert de données personnelles entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données.

Dans son arrêt, la CJUE a examiné la validité de la décision relative à l’adéquation de la protection assurée par le « Privacy Shield« , ou bouclier de protection des données UE-Etats-Unis, et ce au regard des exigences découlant du RGPD.

privacy shield logo

Dans un premier temps, la Cour relève que cette décision d’adéquation fait prévaloir les exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation américaine. Par conséquent, des ingérences sont rendues possibles dans les droits fondamentaux des personnes dont les données sont transférées vers les Etats-Unis.

Ainsi, selon la Cour, les limitations de la protection des données personnelles, qui découlent de la règlementation interne des Etats-Unis portant sur l’accès et l’utilisation de ces données par les autorités publiques américaines, ne sont pas encadrées de manière équivalente aux exigences du principe de proportionnalité du RGPD.

La raison : les programmes de surveillance fondés sur cette règlementation ne sont pas limités au strict nécessaire.

En effet, la CJUE a pu relever que, pour certains programmes de surveillance, la règlementation américaine ne prévoit pas l’existence de limitations à l’habilitation qu’elle donne pour la mise en œuvre de ces programmes, ni même de garanties pour les personnes non américaines potentiellement visées.

Enfin, la Cour considère que le mécanisme de réparation est difficilement applicable par les personnes concernées, puisque, même si la règlementation prévoit des conditions que les autorités américaines doivent respecter lors de la mise en œuvre des programmes de surveillance, elle ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux.

Toutefois, si la CJUE a invalidé la décision d’adéquation « Privacy Shield« , elle a en revanche jugé que les clauses contractuelles types pour le transfert de données personnelles vers des sous-traitants établis hors de l’Union sont valides.

La CNIL procède actuellement à une analyse précise de l’arrêt, en lien avec ses homologues européens réunis au sein du Comité Européen pour la Protection des Données. Ce travail commun permettra, dans les meilleurs délais, d’en tirer les conséquences pour les transferts de données de l’Union européenne vers les États-Unis.

Sources :

– Article publié dans Le Monde (16 juillet 2020) : « L’accord sur le transfert de données personnelles entre l’UE et les Etats-Unis annulé par la justice européenne »

– Site web de la CNIL (17 juillet 2020) : « Invalidation du Privacy shield : la CNIL et ses homologues analysent actuellement ses conséquences« 

Je partage

Derniers articles

miniature accord etats unis europe

Accord entre l’Union européenne et les États-Unis sur le transfert de données : jamais deux sans trois ?

Début octobre 2022, les États-Unis ont ouvert la voie à un nouvel accord renforçant la protection et le transfert des données personnelles avec l’Europe. Notre experte Marie Pontrucher fait un point complet sur les relations entre les États-Unis et l’Union européenne concernant le marché de la donnée.

Lire l'article
edito digitemis par ludovic de carcouet avril 2022

L’édito de Digitemis, par Ludovic de Carcouët (octobre 2022)

Digitemis prospère, Make IT Safe s’émancipe. Voilà le constat dressé dans son édito d’octobre 2022 par Ludovic de Carcouët, fondateur de Digitemis et CEO de Make IT Safe. Pour ces deux entités, l’avenir s’annonce enthousiasmant : une croissance importante, de nombreux recrutements, des nouveaux locaux et une grande ambition. Le temps est venu pour Make IT Safe de prendre son envol et pour Digitemis d’écrire son histoire.

Lire l'article