27 juillet 2020

Invalidation du « Privacy Shield » : la CNIL et ses homologues vont analyser ses conséquences

La Cour de justice de l’Union européenne (CJUE) a annoncé, jeudi 16 juillet 2020, l’invalidation de l’accord dit « Privacy Shield » qui permettait le transfert de données personnelles entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données. Dans son arrêt, la CJUE a examiné la validité de la décision relative […]

données personnellesprivacyRGPD
Logo

La Cour de justice de l’Union européenne (CJUE) a annoncé, jeudi 16 juillet 2020, l’invalidation de l’accord dit « Privacy Shield » qui permettait le transfert de données personnelles entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données.

Dans son arrêt, la CJUE a examiné la validité de la décision relative à l’adéquation de la protection assurée par le « Privacy Shield« , ou bouclier de protection des données UE-Etats-Unis, et ce au regard des exigences découlant du RGPD.

privacy shield logo

Dans un premier temps, la Cour relève que cette décision d’adéquation fait prévaloir les exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation américaine. Par conséquent, des ingérences sont rendues possibles dans les droits fondamentaux des personnes dont les données sont transférées vers les Etats-Unis.

Ainsi, selon la Cour, les limitations de la protection des données personnelles, qui découlent de la règlementation interne des Etats-Unis portant sur l’accès et l’utilisation de ces données par les autorités publiques américaines, ne sont pas encadrées de manière équivalente aux exigences du principe de proportionnalité du RGPD.

La raison : les programmes de surveillance fondés sur cette règlementation ne sont pas limités au strict nécessaire.

En effet, la CJUE a pu relever que, pour certains programmes de surveillance, la règlementation américaine ne prévoit pas l’existence de limitations à l’habilitation qu’elle donne pour la mise en œuvre de ces programmes, ni même de garanties pour les personnes non américaines potentiellement visées.

Enfin, la Cour considère que le mécanisme de réparation est difficilement applicable par les personnes concernées, puisque, même si la règlementation prévoit des conditions que les autorités américaines doivent respecter lors de la mise en œuvre des programmes de surveillance, elle ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux.

Toutefois, si la CJUE a invalidé la décision d’adéquation « Privacy Shield« , elle a en revanche jugé que les clauses contractuelles types pour le transfert de données personnelles vers des sous-traitants établis hors de l’Union sont valides.

La CNIL procède actuellement à une analyse précise de l’arrêt, en lien avec ses homologues européens réunis au sein du Comité Européen pour la Protection des Données. Ce travail commun permettra, dans les meilleurs délais, d’en tirer les conséquences pour les transferts de données de l’Union européenne vers les États-Unis.

Sources :

– Article publié dans Le Monde (16 juillet 2020) : « L’accord sur le transfert de données personnelles entre l’UE et les Etats-Unis annulé par la justice européenne »

– Site web de la CNIL (17 juillet 2020) : « Invalidation du Privacy shield : la CNIL et ses homologues analysent actuellement ses conséquences« 

Blog

Nos actualités cybersécurité

Cybersécurité

Certification ISO 27001 : Guide complet pour sécuriser votre système d’information

Les cyberattaques coûtent de plus en plus cher aux entreprises. Les réglementations se durcissent. Les clients exigent des garanties sur la protection de leurs données. La certification ISO 27001 répond à ces trois enjeux en structurant votre sécurité informationnelle de manière rigoureuse et auditable.

19 novembre 2025

Cybersécurité

Guide complet pour l’analyse de risque cybersécurité

La cybersécurité est une priorité essentielle pour toute entreprise souhaitant protéger ses systèmes d’information et ses données sensibles. L’analyse de risque cyber est une démarche clé qui permet d’identifier, évaluer et hiérarchiser les risques liés aux actifs informationnels, tels que les données personnelles, les infrastructures critiques ou les applications métiers. Elle aide à réduire la vulnérabilité face à des menaces comme les attaques par déni de service, les tentatives d’ingénierie sociale ou les intrusions non autorisées.

6 novembre 2025

Cybersécurité

RSSI externalisé : expert cybersécurité sur demande

Le RSSI externalisé offre une solution flexible et innovante pour les entreprises qui souhaitent améliorer leur cybersécurité sans mobiliser de ressources internes permanentes. Ce expert en sécurité intervient pour piloter la mise en place de mesures de sécurité informatique, réaliser des audits, analyser les risques et garantir la conformité réglementaire tout en gérant les incidents.

6 novembre 2025
Découvrez tous les articles

informations

Contactez-nous

Une question ou un projet en tête ? Remplissez le formulaire, nous reviendrons vers vous rapidement pour un premier échange.

*Informations obligatoires

Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître et/ou exercer vos droits, référez-vous à la politique de Digitemis sur la protection des données, cliquez ici.