Le 16 juillet 2020, la Cour de Justice de l’Union Européenne (CJUE) a invalidé le Privacy Shield qui permettait de protéger les transferts de données entre l’Union Européenne et les Etats Unis.   

  • Qu’est-ce que le privacy shield ? 

Le Privacy Shield est entré en vigueur le 1er aout 2016 suite à l’invalidation d’un autre programme qui permettait le transfert de données entre l’Union Européenne et les opérateurs américains adhérant aux principes de l’Union Européenne de protection de données. Ce bouclier permettait de transférer des données personnelles vers les Etats-Unis à condition que les entreprises qui recevaient ces données soient préalablement inscrites sur le registre tenu par l’administration américaine. Suite à cette obligation, les entreprises devaient respecter un certain nombre d’obligations de fond prévues par cette législation. 

C’est une certification que les entreprises américaines recevaient de l’Union Européenne reconnaissant que leur niveau de protection était satisfaisant et que le transfert pouvait s’effectuer. 

Toutes les entreprises américaines ne pouvaient pas recevoir cette certification. En effet, la société devait être soumise aux pouvoirs de contrôle et d’exécution de la Commission Fédéral du Commerce (FTC) ou du Département des transports américains (DoT). Ces conditions permettaient aux organismes à but non lucratifs, c’est-à-dire les banques, les assurances, les fournisseurs de services de télécommunications, qui ne sont pas soumis soit à la FTC ou DoT , ne pouvant donc a priori pas être traiter de données personnelles en provenance de l’Europe, de bénéficier du Privacy Shield.   

Il faut aussi savoir que ce bouclier s’appliquait à toutes sortes de données personnelles : commerciales, santé, ressources humaines… 

  • L’arrêt Schrems II ou la fin du privacy shield

C’est dans cet arrêt que la CJUE a rendu son invalidation pour le privacy shield. Dans cet arrêt, la Cour a dû se prononcer sur deux facettes : la décision 2010/87 relatives aux clauses contractuelles types, dont la simple signature permet le transfert de nos données personnelles vers des sous-traitants établis dans des Etats Tiers de l’Espace Economique Européen (EEE) ainsi que la décision nommée BPD (Bouclier de Protection des Données). La première partie a été validée par la CJUE contrairement à la seconde. 

Pour la CJUE, le droit américain ne permet pas d’assurer une protection suffisante, ni les garanties nécessaires au transfert des données personnelles. La Cour a examiné la décision BPD au regard des exigences du RGPD et a remarqué des lacunes entre le niveau de protection instauré par l’administration USA et le niveau que le RGPD demande. 

La CJUE prononce aussi cette invalidation au vu des lois de surveillances américaines. En effet, la Cour Européenne émet un doute sur l’utilisation des données dans le cadre des programmes de surveillance PRISM et UPSTREAM. Ces programmes utilisent les données personnelles des individus et à des fins de surveillance. Cet aspect n’a pas séduit la CJUE. 

Cependant, face à cette annonce, des questions doivent être posées car beaucoup d’inquiétudes sont formulées. En effet, le gouvernement français a décidé de placer le traitement du Health Data Hub, qui est une plateforme regroupant les données de santé, à Microsoft qui est une entreprise américaine. Le Conseil d’Etat et la CNIL ont tous deux constaté que de telles données dans ce contexte pourraient facilement fuiter vers les Etats-Unis. 

Cet arrêt est donc très inquiétant quand on sait que beaucoup de données sont hébergées aux Etats-Unis. Même si l’Europe essaie de remettre la main sur les données personnelles des citoyens européens et de les contrôler, un long chemin reste à faire. Pour l’instant, aucune solution n’a été mis en place. Mais la CNIL assure dans son article du 17 juillet 2020, de procéder « à une analyse précise de l’arrêt, en lien avec ses homologues européens réunis au sein du Comité Européen pour la Protection des Données. Ce travail commun permettra, dans les meilleurs délais d’en tirer les conséquences pour les transferts de données de l’Union Européenne vers les Etats-Unis. ». Il faut comprendre par cela que la CNIL et le comité européen pour la protection des données n’abandonne pas le projet. Les transferts de données entre les Etats-Unis et l’Union Européenne doivent être contrôlées surtout quand on étudie l’utilisation des données personnelles des citoyens américains par l’administration américaine. Il faut donc s’attendre à un nouvel instrument de protection dans les mois à venir. Affaire à suivre ! 

Julie HAVY

M2 Cyberjustice – Promotion 2019/2020

Sources : 

https://www.itlaw.fr/index.php/actualites/articles/770-la-fin-du-privacy-shield

https://www.cnil.fr/fr/le-privacy-shield

https://www.cnil.fr/fr/invalidation-du-privacy-shield-la-cnil-et-ses-homologues-analysent-actuellement-ses-consequences?fbclid=IwAR1A_LOIz1WKaDuF1ltrmA2mdDt1ZSs6b1f8GL0nIWtIQD2qwU340sI–8A