L'EU-US Privacy-Shield est mort !
Le cadre UE-USA de protection de la vie privée (EU-US Privacy Shield) a été conçu par le ministère américain du commerce et la Commission européenne pour fournir aux entreprises des deux côtés de l'Atlantique un mécanisme permettant de se conformer aux exigences de protection des données lors du transfert de données personnelles de l'Union européenne vers les États-Unis à l'appui du commerce transatlantique.
Ce 16 juillet 2020, la Cour de Justice de l’Union européenne a annulé l’EU-US Privacy-Shield. Selon elle, le droit américain ne protège pas suffisamment les données une fois qu’elles ont été transférées aux USA.
Le règlement général relatif à la protection des données ( RGPD ») dispose en effet que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. Selon ce règlement, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat.
En l’absence d’une telle décision d’adéquation, un tel transfert ne peut être réalisé que si l’exportateur des données à caractère personnel, établi dans l’Union, prévoit des garanties appropriées, pouvant notamment résulter de clauses types de protection des données adoptées par la Commission, et si les personnes concernées disposent de droits opposables et de voies de droit effectives.
Par ailleurs, le RGPD établit, de manière précise, les conditions dans lesquelles un tel transfert peut avoir lieu en l’absence d’une décision d’adéquation ou de garanties appropriées.
Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.
La Cour relève que, pour certains programmes de surveillance, ladite réglementation ne fait ressortir d’aucune manière l’existence de limitations à l’habilitation qu’elle comporte pour la mise en œuvre de ces programmes, pas plus que l’existence de garanties pour des personnes non américaines potentiellement visées. La Cour ajoute que, si la même réglementation prévoit des exigences que les autorités américaines doivent respecter, lors de la mise en œuvre des programmes de surveillance concernés, elle ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux. Le Privacy-Shield est donc invalide.
En revanche, la Cour a validé l’existence de clauses types de protection reprenant l’obligation pour l’exportateur des donnés et le destinataire du transfert de vérifier, au préalable, que ce niveau de protection est respecté dans le pays tiers concerné. Il s'agit d'un modèle de contrat défini par la Commission européenne, que toute entreprise peut utiliser pour exporter ses données, par exemple vers une filiale, sa maison mère ou un tiers. Elles obligent le destinataire d’informer l’exportateur des données de son éventuelle incapacité de se conformer aux clauses types de protection, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu avec le premier.
Source: https://www.droit-technologie.org/wp-content/uploads/2020/07/Arr%C3%AAt-de-la-CJUE-fran%C3%A7ais.pdf
https://www.droit-technologie.org/actualites/le-privacy-shield-est-annule-par-la-cour-de-justice/