Publications

Données personnelles : annulation du privacy shield, la saga continue !

24 juillet 2020

Par un arrêt du 16 juillet 2020 (Affaire C-311/18), la CJUE a invalidé la décision n° 2016/1250 de la Commission européenne dit « Privacy Shield » qui encadrait jusqu’à présent les transferts de données personnelles depuis l’Union européenne à destination des Etats-Unis.

Cet arrêt s’inscrit dans la lignée de la saga débutée par une première plainte de Maximilian Schrems, ressortissant autrichien et utilisateur de Facebook qui avait obtenu déjà en 2015 l’invalidité de la décision de la Commission du 26 juillet 2000 dit « Safe Harbor » qui servait de base légale aux transferts de données personnelles depuis l’Union européenne vers les EtatsUnis. Le Safe Harbor avait été remplacé par le Privacy Shield, désormais invalide.

En ce qui concerne précisément le Privacy Shield, la Cour a considéré que les dispositions du RGPD étaient incompatibles avec les mesures permises par la législation américaine dès lors que celle-ci permet dans une certaine mesure aux autorités américaines d’avoir accès à des données transférées depuis l’Union européenne notamment. Ainsi, la législation américaine ne présente pas de mesures de nature à répondre aux exigences de la législation européenne notamment en matière de proportionnalité dès lors que les programmes de surveillance américains ne sont pas limités au strict nécessaire.

Les conséquences de cet arrêt ont un effet immédiat et important dans la vie des entreprises concernées. En effet, les entreprises ne peuvent en théorie plus transférer de données personnelles vers les Etats-Unis sous l’empire du Privacy Shield.

Il reste désormais aux entreprises désireuses de transférer des données personnelles vers les Etats-Unis à utiliser les clauses contractuelles types de la Commission qui ne sont pas remises en cause pour encadrer les transferts de données.

Toutefois, la solution est risquée. En effet, alors que le Privacy Shield a été invalidé en raison notamment de la législation américaine, comment peut-on considérer que la mise en œuvre de clauses contractuelles pourra assurer une meilleure protection des droits des personnes et de leurs données qui ne seront pas plus protégées par des clauses contractuelles entre entreprises qui s’échangent des données de part et d’autre de l’Atlantique.

Consultez et téléchargez la dernière newsletter du cabinet dédiée à la PI / IT en cliquant ici.

Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.

Lire la politique de confidentialité

Cookies strictement nécessaires

Les cookies strictement nécessaires doivent être activés à tout moment afin que nous puissions enregistrer vos préférences pour les paramètres de cookies.

Cookies de mesure d’audience

Ce site utilise Google Analytics à des fins statistiques (cookies de mesure d’audience). Ils permettent de savoir combien de fois une page déterminée a été consultée. Nous utilisons ces informations uniquement pour améliorer le contenu de notre site Internet.

Il s’agit des cookies suivants :

_ga : Ce cookie permet d’identifier les visiteurs du site via l’adresse IP de l’utilisateur. Elle est ensuite anonymisée par le service Analytics.

_gat_gtag_UA_UA-80222913-1 : Ce cookie permet de limiter le nombre de requêtes simultanées au site et d’éviter les bugs

_gid : Ce cookie permet d’identifier les visiteurs du site via leur adresse IP (conservation de 24h). Elle est ensuite anonymisée par le service Analytics.

Vous pouvez consulter la page dédié à la protection des données de Google.