16/07/2020 : La Cour de Justice de l’Union Européenne (CJUE) invalide le « PRIVACY SHIELD » ou « BOUCLIER DE PROTECTION » des données transférées entre l’UE et le USA .
Ce dispositif a été conçu en 2016 en remplacement de l’accord « SAFE HARBOR » (ou « SPHERE DE SECURITE ») mis en place par la Commission Européenne en 2000, que la CJUE avait invalidé en 2015 pour deux raisons principales :
- Les programmes de surveillance de masse des USA étaient incompatibles avec une protection adéquate des citoyens européens.
- Les recours possibles étaient beaucoup trop faibles.
Le « PRIVACY SHIELD » entre alors en vigueur le 01/08/2016 sous la forme d’une charte informatique offrant des garanties juridiques pour le transfert des données à caractère personnel par une entité européenne vers des entreprises établies aux Etats-Unis.
La CJUE a toutefois jugé le 16 juillet dernier que les lois américaines sur le renseignement, notamment le « Cloud Act », étaient incompatibles avec la protection des données personnelles garanties aux européens par le RGPD.
A l’origine de cette décision, de nombreuses associations de défense de la vie privée, bon nombre de CNIL européennes, mais aussi et surtout Maximilian SCHREMS, un autrichien défenseur de la vie privée, qui estime que les Etats-Unis « n’offrent pas de protection suffisante des données ». C’est déjà lui qui avait fait tomber le « SAFE HARBOR » et qui, dès la naissance du « PRIVACY SHIELD », s’était montré sceptique sur l’efficacité du texte. Ce verdict de la CJUE clôture une procédure qui l’opposait depuis 7 ans au géant FACEBOOK.
Et maintenant ?
Les échanges de données ne vont toutefois pas subitement s’interrompre ! Cette décision ne s’applique pas aux transferts « nécessaires » vers les USA, tels l’envoi d’emails ou la réservation d’un hôtel.
En outre, les entreprises peuvent avoir recours aux SCC (« Standard Contractual Clauses » ou « Clauses Contractuelles Types ») qui existent depuis 2001. Ces contrats spécifiques peuvent être signés par des entreprises pour exporter des données hors de l’Union Européenne, à condition que les lois du pays destinataire soient compatibles avec la réglementation européenne, ou que les garde-fous contractuels apportés soient suffisants.
A défaut, deux choix s’offrent aux entreprises :
- Soit elles rapatrient sur le sol européen tous les traitements de données personnelles qui entrent dans le champ de la décision, mais c’est un chantier technique et financier colossal
- Soit elles prennent le risque de se mettre en infraction avec le RGPD. Et les amendes prévues à ce titre sont dissuasives : 20 millions d’euros, ou 4% du CA mondial de l’entreprise (le montant le plus important est retenu)
Me MANGEOT se tient à votre disposition pour vous accompagner dans le cadre de votre mise en conformité avec le RGPD.