Données personnelles et invalidation du Privacy Shield : Quelles conséquences pour les entreprises ?
Publié le :
20/07/2020
20
juillet
juil.
07
2020
Dans un arrêt rendu jeudi 16 juillet 2020 (Arrêt Schrems II), la Cour de Justice de l’Union Européenne (CJUE) a invalidé la décision 2016/1250 de la Commission Européenne relative à l’adéquation de la protection assurée par le bouclier de protection des données UE - Etats-Unis, plus couramment appelée « Privacy Shield ». Elle a cependant validé la décision 2010/87 relative aux clauses contractuelles types.
Le Privacy Shield et les clauses contractuelles types sont deux dispositifs légaux permettant le transfert des données personnelles de l’Union Européenne vers des Etats tiers.
Contexte
Plus précisément, depuis 2016, le Privacy Shield était un accord entre l’Union Européenne et les Etats-Unis qui permettait aux entreprises américaines certifiées, c’est-à-dire qui adhéraient au mécanisme du Privacy Shield, d’être reconnues par la Commission européenne comme offrant un niveau de protection adéquat des données personnelles et ainsi de pouvoir recevoir de telles données provenant de l’UE.
Le transfert de données à caractère personnel vers des entreprises américaines qui n’étaient pas certifiées était tout de même possible mais à condition que ces entreprises offrent des garanties appropriées. Ces garanties peuvent prendre la forme de clauses contractuelles types prévues par la Commission Européenne ou de règles d’entreprise contraignantes (ou « Binding Corporate Rules » – BCR). Concrétement, ces clauses types sont un mécanisme contractuel, conclu entre deux entreprises, visant à garantir que les données transférées vers un pays hors de l’Union Européenne bénéficient d’une protection équivalente à celle offerte par les dispositions du Règlement européen sur la protection des données personnelles (RGPD).
Ces différents mécanismes de protection tendent à assurer notamment : le principe d’information, le traitement de données sensibles, le principe d’intégrité des données et de finalité du traitement, l’obligation d’assurer la sécurité des données, l’obligation de protéger les données lorsque celles-ci sont transférées à une société tierce, et l’existence effective des droits d’accès, de rectification et de suppression des données à caractère personnel qui ont été transférées.
Le mécanisme du Privacy Shield faisait suite au Safe Harbor qui portait le même principe, mais qui a été invalidé par le CJUE en 2015 (Arrêt Schrems I) suite à une plainte d’un étudiant autrichien, Max Schrems, contre Facebook considérant, au vu des révélations d’Edward Snowden sur les pratiques du renseignement américain, que les Etats-Unis n’assuraient pas un niveau de protection des données suffisant.
Le Privacy Shield avait pour ambition de garantir un meilleur niveau de protection des données personnelles par rapport au Safe Harbor. Mais ce dispositif, adopté en 2016, était jugé, par certains, comme n’offrant pas les protections suffisantes pour préserver efficacement la vie privée des internautes européens. Les lois américaines sur le renseignement, et notamment le Cloud Act, étant jugées comme trop intrusives. Le Cloud Act, promulgué en 2018, oblige les entreprises américaines à donner accès à leurs données aux autorités si celles-ci le réclame dans le cadre d’une enquête, et ce, que les données soient situées aux Etats-Unis ou à l’étranger.
Pour ces raisons, suite à une reformulation de la plainte de Max Schrems, qui maintient que les Etats-Unis n’offrent toujours pas de protection suffisante, même avec le Privacy Shield, une question préjudicielle a été posée à la CJUE.
La décision de la CJUE
Dans sa décision, la CJUE invalide le Privacy Shield car elle estime que la législation américaine en matière de protection des données n’est pas compatible avec celle de l’Union Européenne, notamment :
- à cause des programmes de surveillance américains, non limité au strict nécessaire,
- en raison de l’absence de recours effectifs aux Etats-Unis permettant aux citoyens européens de maîtriser leurs données ;
- en l’absence de l’existence d’un médiateur indépendant, pouvant trancher un litige relatif aux données personnelles.
Quelles conséquences pour les entreprises ?
Malgré l’invalidité du Privacy Shield, il reste la possibilité de recourir aux clauses contractuelles types, qui elles n’ont pas été invalidées, ou aux règles d’entreprises contraignantes (BCR) pour permettre le transfert des données personnelles de l’UE vers les Etats-Unis. Ainsi, les entreprises qui officiaient sous le Privacy Shield vont devoir négocier des clauses types pour pouvoir continuer à recevoir des données personnelles provenant de l’UE.
Toutefois, même si les clauses contractuelles types sont une alternative, encore faut-il qu’elles accordent des garanties suffisantes. Or, en l’état de la législation américaine, il n’est pas certain que ce soit le cas. Les Etats-Unis créeront-ils un régime spécial dans le Cloud Act pour les ressortissants de l’UE ?
Affaire à suivre… Retrouvez le replay vidéo de son interview auprès de la chaîne RT en France en cliquant ICI.
Historique
-
La propriété intellectuelle au cœur des Jeux Olympiques : Protéger les logos, les signes et mascottes !
Publié le : 08/08/2024 08 août août 08 2024Domaine d'expertise / Propriété intellectuelle & Droit du numériqueDomaine d'expertiseLes Jeux Olympiques constituent l’un des événements sportifs les plus regardé...
-
Un "mème" est-il protégé par le droit d'auteur?
Publié le : 07/04/2023 07 avril avr. 04 2023Revue de PresseDomaine d'expertise / Propriété intellectuelle & Droit du numériqueLudovic de la Monneraye, avocat associé en IP/IT au sein du bureau VAUGHAN AV...
-
Les prémices d’un nouvel encadrement des transferts de données personnelles entre les Etats-Unis et l’Union européenne
Publié le : 02/11/2022 02 novembre nov. 11 2022Revue de PresseDomaine d'expertise / Propriété intellectuelle & Droit du numériqueLE JOURNAL DU MANAGEMENT JURIDIQUE D’ENTREPRISES N°90, TECHNOLOGIES, CONTRAC...
-
Blockchain : forces et faiblesses d’une technologie émergente
Publié le : 22/09/2022 22 septembre sept. 09 2022Domaine d'expertise / Propriété intellectuelle & Droit du numériqueDécryptage actualitésAlors que la taille du marché mondial de la blockchain devrait être multiplié...
-
ACTUALITES ESTIVALES IP / IT 2022
Publié le : 17/08/2022 17 août août 08 2022Revue de PresseDomaine d'expertise / Propriété intellectuelle & Droit du numériqueDécryptage actualitésDATA GOVERNANCE ACT (DGA) : QUELLES NOUVEAUTÉS À L’ÉCHELLE EUROPÉENNE POUR CO...
-
Avec les DMA et DSA, l'Europe veut mettre fin à l'hégémonie des GAFAM - interview de Ludovic de la Monneraye par Bpifrance
Publié le : 29/06/2022 29 juin juin 06 2022Revue de PresseDomaine d'expertise / Propriété intellectuelle & Droit du numériqueinterview réalisé par Tess Della Torre, Rédactrice web du magazine Big média ...
-
DSA / DMA, un vent de changement pour les géants du Web !
Publié le : 23/05/2022 23 mai mai 05 2022Revue de PresseDomaine d'expertise / Propriété intellectuelle & Droit du numériqueDécryptage actualitésLe 15 décembre 2020, la Commission Européenne a dévoilé, dans le cadre de sa...
-
Classement DECIDEURS des cabinets d'avocats Innovation, Technologies & Telecoms 2022
Publié le : 12/05/2022 12 mai mai 05 2022ClassementsDomaine d'expertise / Propriété intellectuelle & Droit du numériqueVaughan Avocats, au travers de Me Marie-Hélène Jan Associée et Me Ludovic de...
-
Envisager d’offrir un NFT pour Noël ?
Publié le : 22/12/2021 22 décembre déc. 12 2021Domaine d'expertise / Propriété intellectuelle & Droit du numériqueDécryptage actualitésQui n’a pas déjà entendu parler du NFT ? Pour cause, ce phénomène fait sui...
-
Au sommaire du Journal du Management juridique d'entreprises NTIC- Propriété intellectuelle-RGPD, une publication de l'équipe Vaughan Avocats
Publié le : 08/11/2021 08 novembre nov. 11 2021Revue de PresseDomaine d'expertise / Propriété intellectuelle & Droit du numériqueLe Journal du Management juridique et réglementaire d'entreprises N° 84 dédié...
-
Condamnation de France télévision ou les enjeux d’un litige contemporain : " Le diffuseur engage sa responsabilité civile et pénale dès lors qu’il partage une photo "
Publié le : 20/09/2021 20 septembre sept. 09 2021Revue de PresseDomaine d'expertise / Propriété intellectuelle & Droit du numériqueDécryptage actualitésFrance Télévisions vient d'être condamné, mercredi 15 septembre, à indemniser...
-
ACTUALITES ESTIVALES IP / IT
Publié le : 29/07/2021 29 juillet juil. 07 2021Revue de PresseDomaine d'expertise / Propriété intellectuelle & Droit du numériqueDécryptage actualitésRGPD, LES NOUVELLES CLAUSES CONTRACTUELLES TYPES DE LA COMMISSION EUROPEENNE...
-
Classement DECIDEURS 2021 Technologies, internet & Télécommunications - Informatique, software & projets digitaux - Cabinet d'avocats - France
Publié le : 16/04/2021 16 avril avr. 04 2021ClassementsDomaine d'expertise / Propriété intellectuelle & Droit du numériqueVaughan Avocats, au travers de son équipe Marie-Hélène Jan, Avocat associée...
-
INFOGRAPHIE : Comment mettre à jour sa politique de cookies pour conformité avec les nouvelles règles de la CNIL
Publié le : 01/04/2021 01 avril avr. 04 2021Domaine d'expertise / Propriété intellectuelle & Droit du numériqueDécryptage actualitésWebinar & infographieLes nouvelles règles sur l'utilisation des cookies imposées par la CNIL (Comm...
-
La lettre recommandée électronique : juridiquement valable ?
Publié le : 30/03/2021 30 mars mars 03 2021Domaine d'expertise / Propriété intellectuelle & Droit du numériqueLa lettre recommandée électronique (ci-après « LRE ») correspond à la version...
-
Covid-19. Cinq questions sur l’instauration de QR code pour les restaurants et lieux culturels
Publié le : 16/03/2021 16 mars mars 03 2021Domaine d'expertise / Propriété intellectuelle & Droit du numériqueDécryptage actualitésSelon plusieurs médias, le gouvernement travaille actuellement à la mise en p...
-
Vaughan Avocats accompagne le Comité Régional du Tourisme de Bretagne (CRT Bretagne)
Publié le : 05/01/2021 05 janvier janv. 01 2021We are vaughanDomaine d'expertise / Propriété intellectuelle & Droit du numériqueA PROPOS DE L’OPERATION Le cabinet VAUGHAN AVOCATS accompagne le Comité Ré...
-
Données personnelles et invalidation du Privacy Shield : Quelles conséquences pour les entreprises ?
Publié le : 20/07/2020 20 juillet juil. 07 2020Domaine d'expertise / Propriété intellectuelle & Droit du numériqueDans un arrêt rendu jeudi 16 juillet 2020 (Arrêt Schrems II), la Cour de Just...
-
Application StopCovid et données personnelles
Publié le : 04/06/2020 04 juin juin 06 2020Domaine d'expertise / Propriété intellectuelle & Droit du numériqueDécryptage actualitésFace à la crise sanitaire actuelle, la technologie est utilisée comme outil s...
-
La signature électronique : mode d’emploi et benchmark de 4 solutions !
Publié le : 26/05/2020 26 mai mai 05 2020Domaine d'expertise / Propriété intellectuelle & Droit du numériqueDécryptage actualitésLa signature électronique, beaucoup en ont entendu parler, certains l'ont pra...