blog

Privacy Shield : Le coup d’arrêt de la Cour Européenne

July 31, 2020

Le 16 juillet 2020 la Cour de Justice de l'Union Européenne CJUE a annulé l'accord « Privacy Shield », le bouclier de protection des données négocié entre 2015 et 2016, qui permettaient aux entreprises européennes de transférer des données personnelles entre l’Union Européenne et les États-Unis.

Ce dispositif, utilisé pour traiter des données personnelles telles que l’identité ou la géolocalisation par exemple, concerne plus de 5000 entreprises.

L’arrêt de la CJUE sonne donc le glas de cet arrangement finalement peu protecteur.

Rappel du cadre réglementaire

Le Règlement Général à la Protection des Données (RGPD) dispose que le transfert de données personnelles vers un pays tiers peut avoir lieu uniquement si le pays en question assure un niveau de protection adéquat pour ces données.

Or, la Cour vient de juger que le transfert des données personnelles vers les Etats-Unis comporte « un risque ». En effet, moins encadrées aux Etats-Unis qu’en Europe, le juge européen a estimé que les dispositions américaines ne sont pas compatibles avec les fondamentaux du RGPD. Si le risque pèse essentiellement sur une possible surveillance de la part des acteurs et de l’Etat américain sur les données des Européens, des ingérences dans les droits fondamentaux des individus sont aussi possible.

Dans sa décision, la CJUE justifie l'annulation du Privacy Shield notamment par les programmes de surveillance américains beaucoup trop intrusifs et donc contraires au droit européen. En tant qu'entreprise, comment prouver que les données transférées seront effectivement protégées malgré l'existence de ces programmes ?

Quels impacts pour les 5300 entreprises concernées ?

Grandes comme petites entreprises, ces acteurs du numérique vont être obligés de revoir les contrats en cours d’exécution et ceux à venir en intégrant de nouvelles clauses.

En effet, le Comité Européen de la Protection des Données (CEDP) vient de préciser le 24 juillet que tout transfert effectué sur la base du cadre juridique du Privacy Shield est considéré comme illégal.

La voie de secours envisageable actuellement réside dans la mise en place des Clauses Contractuelles Type (CCT). La cour a validé la légalité des CCT, à condition que ces dernières présentent un haut niveau de garantie. Ainsi les entreprises ont la possibilité de se conformer au RGPD par un engagement individuel sur les précautions d’usages des données des citoyens européens.

En pratique, les choses sont beaucoup plus compliquées car cela laisse les entreprises seules face à une insécurité et à une complexité juridique soulignée par l’AFCPD.  L’Association Française des Correspondants à la Protection des Données à caractère personnel a récemment estimé qu’il était « disproportionné de faire peser sur les entreprises l’analyse du régime juridique applicable aux services de renseignement du pays importateur. Ce régime juridique est particulièrement complexe et opaque ».

Un avocat et activiste autrichien à la source

Suite aux révélations d’Edward Snowden, Max Schrems ; avocat militant pour la protection des données personnelles, décide de porter plainte en 2013 contre l’accord Safe Harbor. Après l’annulation de cet accord et son remplacement par le Privacy Shield, le citoyen autrichien attaque de nouveau cet accord, cette fois-ci soutenu par le G29 (groupement des autorités de protection de vie privée en Europe). Le 16 juillet 2020, la Cour de Justice de l’Union Européenne a décidé de leur donner raison.

Pour Max Schrems, « Il est clair que les Etats-Unis vont devoir sérieusement changer leurs lois sur la surveillance si leurs entreprises veulent continuer à jouer un rôle sur le marché européen. »

Pour conclure

Si le ministre du commerce américain, Wilbur Ross, se dit « profondément déçu » de cette décision, il n’aura d’autre choix que de prendre en compte les exigences européennes sur l’importance accordée à la protection des données et les inquiétudes des citoyens européens, prêts à agir en cas de défaillance des autorités. Il ne fait aucun doute que la signature d’un troisième accord sera examinée sous toutes les coutures.

Pour les entreprises, face aux doutes que peuvent soulever les dernières précisions du CEPD, un accompagnement par des experts du RGPD est souhaitable, ne serait-ce que pour toute renégociation de contrat.

Contact us

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Les acteurs du Numérique
July 31, 2020

Le 9 avril 2020, un collectif de 200 entrepreneurs du numérique français interpellait le Gouvernement sur la priorité à donner à la souveraineté et à la confiance numérique. Un changement de cap majeur dans la stratégie digitale de l’Etat français est réclamé via trois objectifs dont notamment l’attribution pour au moins 50 % des marchés publics aux entreprises européennes dont 25 % à des PME. La création d’un index des sociétés françaises et européennes proposant des solutions souveraines fait aussi parti des recommandations à mettre en place rapidement ainsi que des dispositifs incitant au développement des solutions numériques souveraines.

Read more
RGPD : Transformer la contrainte en opportunité grâce à l’automatisation
July 31, 2020

Initier une demande d'accès à vos données personnelles est une chose, mais obtenir une réponse en est une autre... du côté de l'entreprise réussir à fournir le bon document dans le délai imparti est souvent très difficile. L'automatisation des process RGPD apporte une réponse simple.

Read more
RGPD/GDPR : mai 2018 ?
July 31, 2020

Le règlement européen en matière de protection des données à caractère personnel ou RGPD (GDPR en Anglais) est la nouvelle réglementation européenne qui s’applique à toute organisation, publique ou privée, traitant des données relatives aux personnes physiques avec lesquelles elles interagissent (clients, prospects, employés, partenaires, …)

Read more
Contactez-nous dès aujourd’hui
GDPR Management Platform
Rejoignez ProLicent