Partner
Analysis
Les transferts internationaux de données personnelles sur la sellette
L’invalidation du Privacy Shield et l’encadrement des clauses contractuelles types (CCT)
En 2016, le Privacy Shield a été reconnu par la Commission européenne comme un mécanisme offrant un niveau de protection adéquat pour les transferts de données personnelles de l’UE vers les entreprises établies aux Etats-Unis qui y adhèrent. Le Privacy Shield était destiné à remplacer le Safe Harbor, un autre mécanisme de transfert des données personnelles de l’UE vers les Etats-Unis, que la CJUE venait d’annuler pour non-respect des exigences européennes en matière de protection des données personnelles. Pour rappel, plus de 5 000 entreprises américaines s’appuient sur le Privacy Shield pour recevoir des données en provenance de l’UE dans le cadre de relations intragroupes, ou pour fournir des services à des entreprises européenne. Par ailleurs, un nombre considérable d’entreprises établies dans l’UE se repose sur le Privacy Shield pour transférer des données personnelles aux Etats-Unis.
Dans sa décision, la CJUE considère que le Privacy Shield ne permet pas d’assurer un niveau de protection substantiellement équivalent à celui requis par le RGPD et la Charte des droits fondamentaux de l’UE (la « Charte »).
Pour motiver l’invalidation du Privacy Shield, la CJUE relève que ce mécanisme ne prévoit pas les limitations et garanties requises à l’égard des ingérences autorisées par les programmes de surveillance de masse américains, ce qui ne permet pas de limiter cette ingérence au strict nécessaire.
Par ailleurs, le Privacy Shield ne propose pas de voie de recours devant les tribunaux pour les personnes non américaines potentiellement visées, alors que les Américains disposent de ce droit.