Invalidation du « Privacy Shield » : la CNIL et ses homologues vont analyser ses conséquences

La Cour de justice de l’Union européenne (CJUE) a annoncé, jeudi 16 juillet 2020, l’invalidation de l’accord dit « Privacy Shield » qui permettait le transfert de données personnelles entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données.

Dans son arrêt, la CJUE a examiné la validité de la décision relative à l’adéquation de la protection assurée par le « Privacy Shield« , ou bouclier de protection des données UE-Etats-Unis, et ce au regard des exigences découlant du RGPD.

privacy shield logo

Dans un premier temps, la Cour relève que cette décision d’adéquation fait prévaloir les exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation américaine. Par conséquent, des ingérences sont rendues possibles dans les droits fondamentaux des personnes dont les données sont transférées vers les Etats-Unis.

Ainsi, selon la Cour, les limitations de la protection des données personnelles, qui découlent de la règlementation interne des Etats-Unis portant sur l’accès et l’utilisation de ces données par les autorités publiques américaines, ne sont pas encadrées de manière équivalente aux exigences du principe de proportionnalité du RGPD.

La raison : les programmes de surveillance fondés sur cette règlementation ne sont pas limités au strict nécessaire.

En effet, la CJUE a pu relever que, pour certains programmes de surveillance, la règlementation américaine ne prévoit pas l’existence de limitations à l’habilitation qu’elle donne pour la mise en œuvre de ces programmes, ni même de garanties pour les personnes non américaines potentiellement visées.

Enfin, la Cour considère que le mécanisme de réparation est difficilement applicable par les personnes concernées, puisque, même si la règlementation prévoit des conditions que les autorités américaines doivent respecter lors de la mise en œuvre des programmes de surveillance, elle ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux.

Toutefois, si la CJUE a invalidé la décision d’adéquation « Privacy Shield« , elle a en revanche jugé que les clauses contractuelles types pour le transfert de données personnelles vers des sous-traitants établis hors de l’Union sont valides.

La CNIL procède actuellement à une analyse précise de l’arrêt, en lien avec ses homologues européens réunis au sein du Comité Européen pour la Protection des Données. Ce travail commun permettra, dans les meilleurs délais, d’en tirer les conséquences pour les transferts de données de l’Union européenne vers les États-Unis.

Sources :

– Article publié dans Le Monde (16 juillet 2020) : « L’accord sur le transfert de données personnelles entre l’UE et les Etats-Unis annulé par la justice européenne »

– Site web de la CNIL (17 juillet 2020) : « Invalidation du Privacy shield : la CNIL et ses homologues analysent actuellement ses conséquences« 

Je partage

Derniers articles

miniature article interet legitime europe

La notion d’intérêt légitime au cœur d’un débat européen

En 2020, l’Autorité de Protection néerlandaise a sanctionné une société de diffusion de matchs de football pour violation des règles de protection des données personnelles. Cette décision a provoqué un débat européen autour de la notion d’intérêt légitime. Alice Picard, notre juriste consultante Protection des Données, revient dans le détail sur les ressorts de ce débat.

Lire l'article
edito digitemis par ludovic de carcouet avril 2022

L’édito de Digitemis, par Ludovic de Carcouët (juin 2022)

Cyber humanum est : l’édito de Ludovic de Carcouët, CEO de Digitemis (juin 2022). L’édition 2022 du Forum International de la Cybersécurité (FIC) qui s’est déroulée à Lille la semaine dernière a montré que le facteur humain demeure le socle d’une politique cyber efficace et ambitieuse. L’humain reste le meilleur garant de la solidité et de la continuité d’un écosystème grâce à son savoir-faire, à sa réflexion, à ses compétences, à sa capacité d‘innovation et de réponse aux problématiques technologiques qui se posent. Il est le plus à même de réguler son rapport à la machine et de doser son usage.

Lire l'article