Les pourfendeurs du Privacy Shield (ou « bouclier de protection des données ») en rêvaient, la Cour de Justice de l’Union Européenne (« CJUE ») l’a fait. Le 16 juillet 2020, la CJUE a invalidé le Privacy Shield, accord permettant de transférer des données personnelles vers des entreprises situées aux Etats-Unis. Dune analyse cette décision et ses conséquences.
Le fonctionnement du Privacy Shield
Le Privacy Shield est un accord négocié entre les Etats-Unis et l’Union Européenne relatif à la protection des données personnelles transférées de l’Union Européenne vers les Etats-Unis. Il instaure un mécanisme d’auto-certification : les entreprises américaines peuvent se déclarer « conformes » aux principes instaurés par le Privacy Shield. Les entreprises européennes peuvent ensuite transférer des données personnelles vers ces entreprises.
Invalidation du Privacy Shield
La CJUE, pour faire tomber le Privacy Shield, se fonde sur le fait que les droits et libertés fondamentales des personnes ne sont pas assurées pour deux raisons :
– les services de renseignements américains opèrent une surveillance qui leur permet, pour des raisons de sécurité nationale et d’intérêt public, d’accéder aux données transférées depuis l’Union Européenne sans limiter cet accès ;
– le mécanisme du Privacy Shield n’offre pas aux personnes des voies de recours effectives : le Privacy Shield instaure un médiateur, qui n’est pas indépendant et qui ne peut adopter des décisions contraignantes à l’égard des services de renseignements américains.
Les conséquences
Les transferts de données personnelles à destination d’entreprises américaines fondés sur le Privacy Shield sont désormais illicites et doivent être suspendus à défaut d’avoir mis en place d’autres garanties.
Selon le Comité Européen de Protection des Données (le « CEPD »), il est notamment possible de transférer des données :
1. en instaurant des clauses contractuelles types (les « CCT »). Il s’agit de modèles de contrat adoptés par la Commission Européenne encadrant ces transferts. Pour les utiliser, il faut évaluer si :
– le pays vers lequel les données sont envoyées assure une protection suffisante de celles-ci (ce qui est difficilement envisageable pour les Etats-Unis) ; et
– les garanties fournies par les CCT peuvent être respectées en pratique. Autrement, il convient de mettre en place des mesures complémentaires de protection, le CEPD fournira des exemples prochainement.
2. lorsque la personne a donné son consentement ou lorsque l’exécution d’un contrat le nécessite. Ces possibilités sont encadrées par des lignes directrices du CEPD.
Cependant, lorsqu’un sous-traitant transfère des données à son propre sous-traitant situé aux Etats-Unis le plus simple est de négocier un avenant pour interdire les transferts vers les Etats-Unis.