Qui sommes-nous ?

Métiers & Expertises

Enjeux & Solutions

Blog & Actualités

Nos publications

Contactez-nous

Invalidation du Privacy Shield : l’imbroglio juridique

Invalidation du Privacy Shield : l’imbroglio juridique

En date du 16 juillet 2020, La Cour de Justice de l’Union Européenne (CJUE) a invalidé la décision de la Commission de l’UE 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, communément appelée Privacy Shield.

Résumé de la décision

C’est la deuxième fois qu’un accord UE – Etats-Unis sur le transfert des données personnelles est invalidé, après le précédent, nommé Safe Harbour ; un lanceur d’alertes autrichien, Maximillian Schrems, est dans les deux cas à l’origine de ces invalidations.

Dans ce deuxième recours également couronné de succès, M. Schrems, utilisateur de Facebook, a soutenu que le droit et les pratiques des États-Unis n’offraient pas de protection suffisante contre l’accès, par les autorités américaines, aux données transférées entre l’UE et les États-Unis.

La juridiction de 1er niveau, dans son interrogation à la CJUE, questionnait également sur l’applicabilité du RGPD à des transferts de données à caractère personnel fondés sur des clauses types de protection (CCT) figurant dans la décision 2010/87.

Dans sa décision, la CJUE a affirmé la validité des clauses contractuelles types de protection tout en invalidant le dispositif du Safe Harbour. L’argumentaire de cette invalidation réside dans le fait que les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.

En outre, il n’existe aucune garantie pour les personnes non américaines potentiellement visées. La Cour ajoute que certaines exigences que doivent respecter les autorités américaines ne confèrent pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux.

Les conséquences pratiques immédiates de la décision

Tous les transferts de données personnelles sont maintenant sanctionnables s’ils ne sont pas effectués au moyen des dispositifs prévus par le RGPD : recours aux CCT, à un code de conduite approuvé, ou à un mécanisme de certification.

La commission de l’UE, désavouée par cette décision, s’est empressée d’indiquer que les clauses contractuelles types pouvaient toujours être utilisées. La CNIL et le Comité Européen de la Protection des Données (CEPD) sont pour l’instant alignés sur la position de la commission UE.

Une situation juridique insoluble 

L’objet principal de l’invalidation du Privacy Shield est la surveillance de masse opérée par les Etats-Unis (dont la prise en compte au sein des organes de l’UE a été reconnue officiellement après les révélations d’Edward Snowden), tout comme les dispositifs américains Cloud Act et Patriot Act. Ainsi, à terme, le recours par dérogations, aux outils globaux précités, dont les CCT paraît insuffisant ; l’importateur des données ne pouvant garantir que les données reçues ne seraient pas consultables par les autorités américaines. Il est à noter que le risque de violation de la confidentialité et de l’intégrité des données personnelles concernées porte aussi sur les cas de données hébergées (cloud, prestataires IT, etc) dans l’Union Européenne par des entreprises opérant aux Etats-Unis, américaines ou non.

Dans la situation actuelle, la responsabilité d’un transfert de données vers les Etats-Unis est laissée entre les mains des responsables de traitements basés en Europe, sans qu’aucune garantie ne puisse être considérée comme totalement juridiquement fiable. L’insécurité, pour ne pas dire le quasi vide juridique laissé de facto par la décision de la CJUE, ne peut pas non plus amener à une recommandation par le CEPD d’un arrêt total de tous les transferts de données personnelles vers les Etats-Unis.

Ainsi, la pertinence d’un éventuel nouvel accord se pose : quel cadre juridique pourrait garantir que les programmes de surveillance américain ne portent pas préjudice aux droits des citoyens européens sur les données personnelles potentiellement surveillées ? Manifestement aucun, puisque dans le meilleur des cas, lorsque le recours d’un juge américain est requis pour valider l’intrusion des autorités américaines dans les bases de données concernées, celui-ci n’a ni nature ni compétences à se soucier des droits des citoyens européens. Dans la pratique, il est fortement probable que les entreprises concernées par une réquisition des autorités américaines n’auront ni les moyens ni la volonté d’analyser que celle-ci est basée sur une décision judiciaire fiable.

L’attitude de la Commission européenne et des autorités de contrôle européennes pourrait donc se limiter à un jeu de dupe à visées économiques, avec l’élaboration d’un nouvel accord de transfert UE-Etats-Unis pour permettre les transferts, tout en n’apportant aucun garantie RGPD, et/ou la création d’outils globaux d’encadrement des transferts ne garantissant que sur le papier la protection des données personnelles vis-à-vis d’intrusions des autorités américaines dans les bases de données personnelles concernées.

La limitation du risque juridique, pour les responsables de traitements, pourrait résider dans le recours à des solutions complémentaires adaptées au cas par cas, selon le niveau de risque évalué : cryptage, pseudonymisation des données personnelles, recours à des hébergeurs européens basés dans l’UE et n’opérant pas aux Etats-Unis, etc.

La logique de responsabilité posée par le RGPD se trouve ainsi fortement renforcée par l’invalidation du Privacy Shield, qui n’est que la deuxième d’une série que l’on peut raisonnablement présumer comme continue, puisque les programmes de surveillance de masse opérés par les Etats-Unis ne disparaîtront pas.

 

Découvrez aussi notre article Réglementation sur les cookies : l’histoire sans fin.

Vous souhaitez nous contacter ?

Besoin d'une information sur nos solutions ? Envie de nous rejoindre ?
L'équipe Ellisphere est là pour répondre à vos questions.

Nous contacter

Entrez en contact avec l'équipe Ellisphere

Écrivez-nous

Charte transparence

Vous souhaitez connaître le score de votre entreprise ?

Votre score

Newsletter

Découvrez les derniers articles de notre blog

Abonnez-vous