Compliance, audit et risques

Annulation du « Privacy Shield » par la CJUE

Dans un arrêt du 16 juillet 2020, la Cour de Justice de l’Union européenne (CJUE) a invalidé la décision de la Commission européenne relative à l’adéquation de la protection assurée par le « Privacy Shield » ou « bouclier de protection des données ». Depuis 2016, ce mécanisme juridique était reconnu comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux États-Unis.

 

Les motifs de l’annulation de l’accord

Pour la CJUE, le Privacy Shield, mécanisme d’auto-certification pour les entreprises établies aux États-Unis, ne respecte pas les exigences posées par le Règlement Général relatif à la Protection des Données (RGPD). Ce dernier dispose en effet que le transfert de données à caractère personnel ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. Toujours selon le Règlement, la Commission peut quant à elle constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat. Par une décision du 12 juillet 2016, la Commission européenne avait ainsi estimé que les États-Unis offraient un niveau de protection suffisant pour entériner l’accord « Privacy Shield ».

 

Pour invalider cette décision, la CJUE avance que le niveau de protection offert par les États-Unis n’est pas substantiellement équivalent à celui garanti au sein de l’Union. La Cour précise également que l’évaluation de ce niveau de protection prend non seulement en compte les stipulations contractuelles du transfert de données, mais aussi l’éventuel accès des autorités publiques de ce pays tiers aux données transférées. Sont ici visés les pouvoirs étendus des autorités américaines en matière de surveillance et de sécurité publique, qui excèdent « le strict nécessaire ».

 

La validité des clauses contractuelles types

S’il n’est plus possible de recourir au « Privacy Shield » pour encadrer le transfert de données personnelles (à des fins commerciales) des citoyens européens vers les États-Unis, le mécanisme dit « des Clauses Contractuelles Types (CCT) » reste néanmoins valide. Selon le juge européen, la décision de la Commission du 5 février 2010 comporte bien des « mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer ». Il appartient donc désormais aux sociétés ayant eu recours au « Privacy Shield » de régulariser leur situation en mettant éventuellement en place des CCT.

 

En savoir plus :

 

Et pour aller plus loin, découvrez toutes nos formations en compliance, audit et risques !

  • compliance
    Compliance, audit et risques

    Face à la multiplication des règles juridiques et éthiques, les organisations s’engagent de plus en plus dans une démarche de conformité. Enjeu stratégique majeur, le programme de compliance permet à l’entreprise de réduire son exposition aux risques, tout en véhiculant une image transparente et...

  • Lanceur d'alerte
    Compliance, audit et risques

    Le régime relatif à la protection des lanceurs d’alerte a récemment évolué avec l’adoption de la loi n° 2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte et de la loi organique n° 2022-400 du 21 mars 2022 visant à renforcer le rôle du Défenseur des droits en matière de...