Votre
recherche

    18.07.2020

    La CJUE invalide le Privacy Shield


    Par un arrêt du 16 juillet 2020, la grande chambre de la Cour de Justice de l’Union Européenne (CJUE) a invalidé le Privacy Shield.

     

    Le Privacy Shield avait été adopté en remplacement du « Safe Harbor », déjà annulé par la CJUE le 6 octobre 2015 par une décision dite « Schrems 1 », afin d’encadrer le transfert de données

    personnelles depuis l’Union Européenne vers les Etats-Unis.

     

    La décision de la Commission Européenne du 12 juillet 2016, portant sur l’adéquation du Privacy Shield, permettait jusqu’à présent à de très nombreuses entreprises

    américaines, une fois certifiées conformes au Privacy Shield, de recevoir des données personnelles transférées depuis l’Union Européenne.

     

    Par cette nouvelle décision dite « Schrems 2 », la CJUE a notamment considéré que ce mécanisme n’assure en réalité pas un niveau de protection égal à celui de la législation européenne.

     

    Ont notamment été visés les pouvoirs de l’Etat américain en matière de surveillance, qui permettent aux différents programmes mis en place sur les plans de la sécurité publique, de la défense et de la sûreté de l’Etat, d’accéder à des données personnelles et de les utiliser d’une façon considérée comme excédant ce qui est strictement nécessaire en droit de l’Union Européenne.

     

    Il n’est donc désormais plus possible d’avoir recours au mécanisme du Privacy Shield pour transférer des données personnelles vers les Etats-Unis.

     

    En revanche, par ce même arrêt du 16 juillet 2020, la CJUE valide les Clauses Contractuelles Types (ou « CCT ») également adoptées en 2010 par la Commission Européenne.

     

    Les CCT constituent une des alternatives au Privacy Shield, leur conclusion permettant également d’encadrer le transfert de données vers des pays tiers à l’Union Européenne, en ce inclus les Etats-Unis.

     

    Compte tenu de cette décision de la CJUE, afin de se mettre en conformité dans les meilleurs délais, il convient pour chaque société, qu’elle agisse en qualité de responsable de traitement ou de sous-traitant, de cartographier les transferts de données réalisés vers les Etats-Unis, et dans le cas où ces transferts étaient encadrés par le Privacy Shield, de régulariser la situation.

     

    Selon les cas, le recours aux CCT peut constituer une alternative intéressante, pouvant être rapidement mise en place.

     

    Pour votre information, vous trouverez ci-joint la décision du 16 juillet 2020 de la CJUE dans sa version intégrale (en anglais).

     

    Nous sommes à votre disposition pour répondre aux questions que cette situation pourrait générer et vous assister dans l’éventuelle mise en conformité de vos traitements de données personnelles.