Close

2020-07-21

Privacy Shield : le transfert des données3 min read

L’accord sur le transfert de données à caractère personnel entre l’Union européenne et les États-Unis (Privacy Shield) qui a été adopté en juillet 2016 à été annulé par la Cour de justice de l’Union européenne.

Cet accord visait à reconnaître un niveau de protection équivalent aux exigences européennes aux mécanismes EU-US Privacy Shield (bouclier de protection des données).

Il s’agissait de permettre aux entreprises européennes de bénéficier d’un corpus de dispositions pouvant justifier les transferts des données vers les États-Unis sans passer par les mécanismes de clauses contractuelles ou autres règles contraignantes fixées par le RGPD.

Pour ce faire, les entreprises américaines devaient s’auto-certifier auprès du département du commerce en respectant des règles et des garanties en matière de protection des données à caractère personnel.

Est-ce que le Privacy Shield est conforme RGPD ?

Le Privacy Shield vise à encadrer le transfert des données à caractère personnel vers les États-Unis en sus des clauses contractuelles et règles d’entreprises préexistantes.

La CJUE considère qu’il n’y a pas d’adéquation avec la protection assurée par le bouclier de protection des données UE-États-Unis, « au regard des exigences découlant du RGPD, lu à la lumière des dispositions de la Charte garantissant le respect de la vie privée et familiale, la protection des données à caractère personnel et le droit à une protection juridictionnelle effective ».

La Cour a estimé que les lois américaines sur la surveillance n’offraient pas une protection suffisante des données personnelles et de la vie privée par rapport à la législation en vigueur dans l’UE.

Et les clauses contractuelles ?

La CJUE a validé une décision de la Commission européenne, sur la légalité des « clauses contractuelles » en matière de transfert de données en considérant que « les clauses types de protection des données qu’elle prévoit ne lient pas les autorités de ces pays tiers », eu égard de leur caractère contractuel.

Cette validité reste néanmoins tempérée en ce que « l’exigence résultant de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, sous c), du RGPD, (…), une telle décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer ».

Aussi, la CNIL sera « tenue de suspendre ou d’interdire un transfert de données personnelles vers un pays tiers » qui ne serait pas conformes aux exigences résultant du RGPD.

Pour toutes vos questions, nous restons à votre disposition à l’adresse suivante : contact@articlaw.net

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

2 × quatre =