Invalidation du « Privacy Shield » : la CNIL et ses homologues vont analyser ses conséquences

La Cour de justice de l’Union européenne (CJUE) a annoncé, jeudi 16 juillet 2020, l’invalidation de l’accord dit « Privacy Shield » qui permettait le transfert de données personnelles entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données.

Dans son arrêt, la CJUE a examiné la validité de la décision relative à l’adéquation de la protection assurée par le « Privacy Shield« , ou bouclier de protection des données UE-Etats-Unis, et ce au regard des exigences découlant du RGPD.

Dans un premier temps, la Cour relève que cette décision d’adéquation fait prévaloir les exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation américaine. Par conséquent, des ingérences sont rendues possibles dans les droits fondamentaux des personnes dont les données sont transférées vers les Etats-Unis.

Ainsi, selon la Cour, les limitations de la protection des données personnelles, qui découlent de la règlementation interne des Etats-Unis portant sur l’accès et l’utilisation de ces données par les autorités publiques américaines, ne sont pas encadrées de manière équivalente aux exigences du principe de proportionnalité du RGPD.

La raison : les programmes de surveillance fondés sur cette règlementation ne sont pas limités au strict nécessaire.

En effet, la CJUE a pu relever que, pour certains programmes de surveillance, la règlementation américaine ne prévoit pas l’existence de limitations à l’habilitation qu’elle donne pour la mise en œuvre de ces programmes, ni même de garanties pour les personnes non américaines potentiellement visées.

Enfin, la Cour considère que le mécanisme de réparation est difficilement applicable par les personnes concernées, puisque, même si la règlementation prévoit des conditions que les autorités américaines doivent respecter lors de la mise en œuvre des programmes de surveillance, elle ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux.

Toutefois, si la CJUE a invalidé la décision d’adéquation « Privacy Shield« , elle a en revanche jugé que les clauses contractuelles types pour le transfert de données personnelles vers des sous-traitants établis hors de l’Union sont valides.

La CNIL procède actuellement à une analyse précise de l’arrêt, en lien avec ses homologues européens réunis au sein du Comité Européen pour la Protection des Données. Ce travail commun permettra, dans les meilleurs délais, d’en tirer les conséquences pour les transferts de données de l’Union européenne vers les États-Unis.

Sources :

– Article publié dans Le Monde (16 juillet 2020) : « L’accord sur le transfert de données personnelles entre l’UE et les Etats-Unis annulé par la justice européenne »

– Site web de la CNIL (17 juillet 2020) : « Invalidation du Privacy shield : la CNIL et ses homologues analysent actuellement ses conséquences« 

Je partage