La CJUE invalide le Privacy Shield

16 Juil 2020

Profil de DPO

La Cour de Justice de l’Union Européen invalide la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis


En revanche, elle juge que la décision 2010/87 de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers est valide

Dans son communiqué, la Cour de Justice de l’Union Européenne rappelle que le règlement général relatif à la protection des données dispose que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données.

Selon le RGPD, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat.

En l’absence d’une telle décision d’adéquation, un tel transfert ne peut être réalisé que si l’exportateur des données à caractère personnel, établi dans l’Union, prévoit des garanties appropriées, pouvant notamment résulter de clauses types de protection des données adoptées par la Commission, et si les personnes concernées disposent de droits opposables et de voies de droit effectives.

Par ailleurs, le RGPD établit, de manière précise, les conditions dans lesquelles un tel transfert peut avoir lieu en l’absence d’une décision d’adéquation ou de garanties appropriées.

“La Cour a clarifié pour la deuxième fois qu’un conflit existe entre la loi européenne sur la vie privée et la loi américaine sur la surveillance. Comme l’UE ne changera pas ses droits fondamentaux pour plaire à la NSA, la seule façon de surmonter ce conflit est que les Etats-Unis introduisent des protections de la vie privée pour tous, y compris les étrangers. La réforme des lois de surveillance devient ainsi cruciale pour les intérêts commerciaux de la Silicon Valley”

Max Schrems

Concrètement, cette décision de la CJUE implique que les données personnelles des européens ne peuvent plus, être transférées, ni traitées dans des serveurs hébergés sur le sol américain en s’appuyant sur le Privacy Shield.

Pour les organisations européennes soucieuses de leur conformité au cadre juridique Informatique et Libertés, il convient donc d’initier un nouveau chantier : la revue des transferts Hors UE.

En effet chaque transfert Hors UE déclaré au sein du registre des activités de traitement recourant à ce mécanisme d’adéquation devra, à présent, privilégier l’utilisation des Clauses Contractuelles Types pour assurer l’encadrement dudit transfert.

Vous êtes utilisateurs d’Adequacy ? Bonne nouvelle vous pouvez directement extraire la « liste des transferts hors UE par traitement » afin d’obtenir une visibilité sur le chantier à réaliser.