Par un arrêt du 16 juillet 2020 (Affaire C-311/18), la CJUE a invalidé la décision n° 2016/1250 de la Commission européenne dit « Privacy Shield » qui encadrait jusqu’à présent les transferts de données personnelles depuis l’Union européenne à destination des Etats-Unis.
Cet arrêt s’inscrit dans la lignée de la saga débutée par une première plainte de Maximilian Schrems, ressortissant autrichien et utilisateur de Facebook qui avait obtenu déjà en 2015 l’invalidité de la décision de la Commission du 26 juillet 2000 dit « Safe Harbor » qui servait de base légale aux transferts de données personnelles depuis l’Union européenne vers les EtatsUnis. Le Safe Harbor avait été remplacé par le Privacy Shield, désormais invalide.
En ce qui concerne précisément le Privacy Shield, la Cour a considéré que les dispositions du RGPD étaient incompatibles avec les mesures permises par la législation américaine dès lors que celle-ci permet dans une certaine mesure aux autorités américaines d’avoir accès à des données transférées depuis l’Union européenne notamment. Ainsi, la législation américaine ne présente pas de mesures de nature à répondre aux exigences de la législation européenne notamment en matière de proportionnalité dès lors que les programmes de surveillance américains ne sont pas limités au strict nécessaire.
Les conséquences de cet arrêt ont un effet immédiat et important dans la vie des entreprises concernées. En effet, les entreprises ne peuvent en théorie plus transférer de données personnelles vers les Etats-Unis sous l’empire du Privacy Shield.
Il reste désormais aux entreprises désireuses de transférer des données personnelles vers les Etats-Unis à utiliser les clauses contractuelles types de la Commission qui ne sont pas remises en cause pour encadrer les transferts de données.
Toutefois, la solution est risquée. En effet, alors que le Privacy Shield a été invalidé en raison notamment de la législation américaine, comment peut-on considérer que la mise en œuvre de clauses contractuelles pourra assurer une meilleure protection des droits des personnes et de leurs données qui ne seront pas plus protégées par des clauses contractuelles entre entreprises qui s’échangent des données de part et d’autre de l’Atlantique.
Consultez et téléchargez la dernière newsletter du cabinet dédiée à la PI / IT en cliquant ici.