La CJUE invalide le Privacy Shield
La Cour de Justice de l’Union Européen invalide la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis
En revanche, elle juge que la décision 2010/87 de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers est valide
Dans son communiqué, la Cour de Justice de l’Union Européenne rappelle que le règlement général relatif à la protection des données dispose que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données.
Selon le RGPD, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat.
En l’absence d’une telle décision d’adéquation, un tel transfert ne peut être réalisé que si l’exportateur des données à caractère personnel, établi dans l’Union, prévoit des garanties appropriées, pouvant notamment résulter de clauses types de protection des données adoptées par la Commission, et si les personnes concernées disposent de droits opposables et de voies de droit effectives.
Par ailleurs, le RGPD établit, de manière précise, les conditions dans lesquelles un tel transfert peut avoir lieu en l’absence d’une décision d’adéquation ou de garanties appropriées.
“La Cour a clarifié pour la deuxième fois qu’un conflit existe entre la loi européenne sur la vie privée et la loi américaine sur la surveillance. Comme l’UE ne changera pas ses droits fondamentaux pour plaire à la NSA, la seule façon de surmonter ce conflit est que les Etats-Unis introduisent des protections de la vie privée pour tous, y compris les étrangers. La réforme des lois de surveillance devient ainsi cruciale pour les intérêts commerciaux de la Silicon Valley”
Concrètement, cette décision de la CJUE implique que les données personnelles des européens ne peuvent plus, être transférées, ni traitées dans des serveurs hébergés sur le sol américain en s’appuyant sur le Privacy Shield.
Pour les organisations européennes soucieuses de leur conformité au cadre juridique Informatique et Libertés, il convient donc d’initier un nouveau chantier : la revue des transferts Hors UE.
En effet chaque transfert Hors UE déclaré au sein du registre des activités de traitement recourant à ce mécanisme d’adéquation devra, à présent, privilégier l’utilisation des Clauses Contractuelles Types pour assurer l’encadrement dudit transfert.
Vous êtes utilisateurs d’Adequacy ? Bonne nouvelle vous pouvez directement extraire la « liste des transferts hors UE par traitement » afin d’obtenir une visibilité sur le chantier à réaliser.
Dernières actualités
Adequacy obtient la médaille d’or EcoVadis : une reconnaissance de notre engagement RSE
Nous sommes fiers d’annoncer que nous avons obtenu la médaille d’or EcoVadis, une distinction qui nous place parmi les 5 % des entreprises les mieux notées au monde en matière de Responsabilité Sociétale des Entreprises. Chez Adequacy, notre mission est d’accompagner...
Adequacy classé meilleur logiciel de mise en conformité RGPD par le Magazine Décideurs
Le Magazine Décideurs a publié son classement des meilleurs logiciels de conformité RGPD. Nous sommes fiers d’annoncer qu’Adequacy est classé N°1 en 2024 ! Ce classement met en lumière notre engagement à offrir une solution performante pour assurer la conformité des...
Data Privacy Framework : 3 facteurs d’un choc inévitable
Des membres du Privacy and Civil Liberties Oversight Board (PCLOB) sommés de démissionner Depuis les révélations d'Edward Snowden, on sait que les États-Unis collectent massivement les données des Européens via des entreprises comme Google, Apple ou Microsoft. Le New...
