Invalidation du « Privacy Shield » : la CNIL et ses homologues vont analyser ses conséquences

La Cour de justice de l’Union européenne (CJUE) a annoncé, jeudi 16 juillet 2020, l’invalidation de l’accord dit « Privacy Shield » qui permettait le transfert de données personnelles entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données.

Dans son arrêt, la CJUE a examiné la validité de la décision relative à l’adéquation de la protection assurée par le « Privacy Shield« , ou bouclier de protection des données UE-Etats-Unis, et ce au regard des exigences découlant du RGPD.

privacy shield logo

Dans un premier temps, la Cour relève que cette décision d’adéquation fait prévaloir les exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation américaine. Par conséquent, des ingérences sont rendues possibles dans les droits fondamentaux des personnes dont les données sont transférées vers les Etats-Unis.

Ainsi, selon la Cour, les limitations de la protection des données personnelles, qui découlent de la règlementation interne des Etats-Unis portant sur l’accès et l’utilisation de ces données par les autorités publiques américaines, ne sont pas encadrées de manière équivalente aux exigences du principe de proportionnalité du RGPD.

La raison : les programmes de surveillance fondés sur cette règlementation ne sont pas limités au strict nécessaire.

En effet, la CJUE a pu relever que, pour certains programmes de surveillance, la règlementation américaine ne prévoit pas l’existence de limitations à l’habilitation qu’elle donne pour la mise en œuvre de ces programmes, ni même de garanties pour les personnes non américaines potentiellement visées.

Enfin, la Cour considère que le mécanisme de réparation est difficilement applicable par les personnes concernées, puisque, même si la règlementation prévoit des conditions que les autorités américaines doivent respecter lors de la mise en œuvre des programmes de surveillance, elle ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux.

Toutefois, si la CJUE a invalidé la décision d’adéquation « Privacy Shield« , elle a en revanche jugé que les clauses contractuelles types pour le transfert de données personnelles vers des sous-traitants établis hors de l’Union sont valides.

La CNIL procède actuellement à une analyse précise de l’arrêt, en lien avec ses homologues européens réunis au sein du Comité Européen pour la Protection des Données. Ce travail commun permettra, dans les meilleurs délais, d’en tirer les conséquences pour les transferts de données de l’Union européenne vers les États-Unis.

Sources :

– Article publié dans Le Monde (16 juillet 2020) : « L’accord sur le transfert de données personnelles entre l’UE et les Etats-Unis annulé par la justice européenne »

– Site web de la CNIL (17 juillet 2020) : « Invalidation du Privacy shield : la CNIL et ses homologues analysent actuellement ses conséquences« 

Je partage

Derniers articles

Contrôle CNIL, comment bien s’y préparer ?

En tant que régulateur des données personnelles dans l’univers numérique, la Commission Nationale de l’Informatique et des Libertés (CNIL) se positionne en tant que partenaire des entreprises, les guidant vers la conformité tout en soutenant les particuliers dans l’exercice de leurs droits. L’une de ses missions consiste à garantir la conformité des entreprises au Règlement Général sur la Protection des Données et à la loi Informatique et Libertés. Dans cette optique, la CNIL est habilitée à entreprendre des contrôles.
Cet article vise à explorer en détail le processus de contrôle de la CNIL, offrant ainsi des clés essentielles pour une préparation efficace face à ces évaluations cruciales.

Lire l'article

DMA, DGA, DSA, DA : quels sont ces nouveaux règlements ?

De nouveaux règlements européens viennent s’ajouter au RGPD, élargissant ainsi la protection des données. Cette évolution règlementaire a un impact majeur sur les entreprises et les utilisateurs. Cet article examine quatre règlements essentiels : le Digital Markets Act, le Data Governance Act, le Digital Services Act et le Digital Act (DA). Chacun de ces règlements exerce une influence significative sur le paysage numérique, abordant des sujets allant de la régulation des géants de la technologie à la gestion des données et à la protection de la vie privée.

Lire l'article