La lettre d'Option Droit & Affaires

IP/IT

Les transferts internationaux de données personnelles sur la sellette

Lettre Option Droit & Affaires - 9 septembre 2020 - Thierry Dor & Laura Mallard

Les transferts de données personnelles depuis l’UE vers les Etats-Unis et de nombreux autres pays remis en cause ? Tels sont les effets de la décision de la Cour de Justice de l’Union européenne (CJUE) du 16 juillet 2020 dite «Schrems II» par laquelle la CJUE a invalidé le Privacy Shield et précisé les conditions applicables aux transferts hors UE.

Par Thierry Dor, associé, et Laura Mallard, élève-avocat, Gide

L’invalidation du Privacy Shield et l’encadrement des clauses contractuelles types (CCT)

En 2016, le Privacy Shield a été reconnu par la Commission européenne comme un mécanisme offrant un niveau de protection adéquat pour les transferts de données personnelles de l’UE vers les entreprises établies aux Etats-Unis qui y adhèrent. Le Privacy Shield était destiné à remplacer le Safe Harbor, un autre mécanisme de transfert des données personnelles de l’UE vers les Etats-Unis, que la CJUE venait d’annuler pour non-respect des exigences européennes en matière de protection des données personnelles. Pour rappel, plus de 5 000 entreprises américaines s’appuient sur le Privacy Shield pour recevoir des données en provenance de l’UE dans le cadre de relations intragroupes, ou pour fournir des services à des entreprises européenne. Par ailleurs, un nombre considérable d’entreprises établies dans l’UE se repose sur le Privacy Shield pour transférer des données personnelles aux Etats-Unis.

Dans sa décision, la CJUE considère que le Privacy Shield ne permet pas d’assurer un niveau de protection substantiellement équivalent à celui requis par le RGPD et la Charte des droits fondamentaux de l’UE (la «Charte»).

Pour motiver l’invalidation du Privacy Shield, la CJUE relève que ce mécanisme ne prévoit pas les limitations et garanties requises à l’égard des ingérences autorisées par les programmes de surveillance de masse américains, ce qui ne permet pas de limiter cette ingérence au strict nécessaire.

Par ailleurs, le Privacy Shield ne propose pas de voie de recours devant les tribunaux pour les personnes non américaines potentiellement visées, alors que les Américains disposent de ce droit.

La CJUE émet également des réserves sur le rôle du médiateur (ombudsperson en...

La suite de cet article est réservée aux abonnés

Vous avez déjà un compte

Pour lire la suite de cet article, connectez-vous à votre compte

Mot de passe oublié

En cas de problème avec votre compte abonné, merci de contacter abonnement(at)optionfinance.fr

Pas encore abonné ?

Découvrez toutes nos offres d'abonnement et accédez à nos articles et dossiers en ligne.

S'abonner