Menu Fermer

La CJUE invalide le “Privacy Shield”. (Schrems II)

La Cour de justice européenne a invalidé ce jeudi le mécanisme permettant le transfert de données à caractère personnel entre l’Union européenne et les États-Unis. qui est connu sous le nom de « Privacy Shield ».

Les lois de surveillance américaines ne sont pas conformes au prescrit du RGPD.

La Cour a indiqué dans son arrêt C-311/18 que les lois américaines sur la surveillance sont en contradiction avec les droits fondamentaux de l’UE et que le Privacy Shield ne garantit donc pas une protection adéquate des données à caractère personnelle aux Etats-Unis selon les standards de l’UE.

En effet, les États-Unis limitent les ingérences contre le respect de la vie privée des citoyens américains (ou assimilés), mais ne protègent pas suffisamment les données à caractère personnel des personnes étrangères contre les intrusions de la NSA. (National Surveillance Agency).

Par ailleurs, comme la NSA (et d’autres organismes de surveillance aux Etats-Unis) ne déclare pas quelles entreprises, quelles personnes ou quelles organisations font l’objet de mesures de surveillance, il n’y a par conséquent aucun moyens pour les personnes concernées d’exercer leurs droits en cas d’abus.

Selon Max Schrems, activiste militant pour la protection des données à l’origine de la procédure (et également à l’origine de l’invalidation du mécanisme précédent à savoir le Safe Harbor) :

La Cour a clarifié pour la deuxième fois maintenant qu’il y a un conflit entre la législation européenne sur la vie privée et la législation américaine sur la surveillance. Comme l’UE ne modifiera pas ses droits fondamentaux pour satisfaire la NSA, la seule façon de surmonter ce conflit est que les États-Unis introduisent des droits solides en matière de vie privée pour tous, y compris les étrangers. “

La Commission européenne n’aurait pas procédé à une évaluation suffisante de l’adéquation du Privacy Shield par rapport aux standards de l’UE.

L’arrêt susmentionné indique également clairement que la Commission européenne n’aurait pas entrepris d’évaluation approfondie du Privacy Shield avant de le valider.

Herwig Hofmann, professeur de droit à l’Université du Luxembourg et l’un des avocats plaidant les affaires de Schrems devant la CJUE : “La CJUE a invalidé la deuxième décision de la Commission violant les droits fondamentaux de l’UE en matière de protection des données. Il ne peut y avoir de transfert de données vers un pays où il existe des formes de surveillance de masse. Tant que la législation américaine donnera à son gouvernement le pouvoir d”acceder aux données de personnes dans l’UE transitant vers les États-Unis, ces instruments seront invalidés à maintes reprises. L’acceptation par la Commission des lois américaines en matière de surveillance de masse dans la décision “Privacy Shield” les a laissées sans défense”.

Les autorités chargées de la protection des données à caractère personnel ont le “devoir d’agir” et l’utilisation de clauses contractuelles types n’est pas la solution miracle.

La Cour a rejoint l’avis de M. Schrems selon lequel c’est seulement à la condition que la loi du pays tiers destinataire ne soit pas incompatible avec le droit européen que les CCT (Clauses contractuelles type validées par la Commission – SCC en Anglais) puissent toujours être utilisées pour effectuer des transferts à l’étranger. (En tant qu’alternative valable à une décision d’adéquation de la Commission).

Par conséquent l’usage de CCT n’est pas proscrit mais devra être soumis à un contrôle (en fonction du pays destinataire) pour assurer son effectivité.

Selon Max Schrems : “Larrêt indique clairement que les entreprises ne peuvent plus se contenter d’utiliser les CCT, mais doivent également vérifier si les CCT peuvent être respectés en pratique dans le pays destinataire.

Une Autorité de protection des données à théoriquement le devoir d’ordonner à une entreprise d’arrêter les transferts si les clauses contractuelles types ne peuvent pas être respectées”.

Les transferts de données « nécessaires » vers les Etats-Unis peuvent continuer

En dépit des invalidations prononcées par le jugement, les transferts de données absolument nécessaires peuvent continuer sur base de l’Article 49 du RGPD. (Transferts qui ne peuvent être effectués sur base d’une décision d’adéquation, de CCT ou de binding corporate rules – selon les articles 45 et 46 du RGPD)

Toute situation où les utilisateurs veulent explicitement que leurs données à caractère personnel soient transférées à l’étranger est encore légale, puisque que cela peut avoir lieu sur base d’un consentement informé de l’utilisateur, qui peut être retiré à tout moment.

De même, le RGPD permet les transferts de données lorsque cela est nécessaire pour l’exécution d’un contrat. C’est une base juridique solide pour la plupart des transactions aux Etats-Unis.

Conclusion

Il reste à voir quel impact cet arrêt aura en pratique pour les entreprises américaines et notamment les GAFAM et si le gouvernement américain modifiera ses lois de surveillance afin de retrouver un statut de partenaire privilégié de l’UE. (Au niveau des transferts de données à caractère personnel).

Vous avez questions relatives à ce sujet, n’hésitez pas à me contacter en m’envoyant un courriel.

Sources : https://noyb.eu/en/cjeu, ; www.curia.europa.eu

Please follow and like us:

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

fr_FRFrançais
fr_FRFrançais en_GBEnglish (UK)