Aucun produit dans votre panier.
Aucun produit dans votre panier.
Publié le - Mise à jour le
Pour la CJUE, le Privacy Shield, mécanisme d’auto-certification pour les entreprises établies aux États-Unis, ne respecte pas les exigences posées par le Règlement Général relatif à la Protection des Données (RGPD). Ce dernier dispose en effet que le transfert de données à caractère personnel ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. Toujours selon le Règlement, la Commission peut quant à elle constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat. Par une décision du 12 juillet 2016, la Commission européenne avait ainsi estimé que les États-Unis offraient un niveau de protection suffisant pour entériner l’accord « Privacy Shield ».
Pour invalider cette décision, la CJUE avance que le niveau de protection offert par les États-Unis n’est pas substantiellement équivalent à celui garanti au sein de l’Union. La Cour précise également que l’évaluation de ce niveau de protection prend non seulement en compte les stipulations contractuelles du transfert de données, mais aussi l’éventuel accès des autorités publiques de ce pays tiers aux données transférées. Sont ici visés les pouvoirs étendus des autorités américaines en matière de surveillance et de sécurité publique, qui excèdent « le strict nécessaire ».
S’il n’est plus possible de recourir au « Privacy Shield » pour encadrer le transfert de données personnelles (à des fins commerciales) des citoyens européens vers les États-Unis, le mécanisme dit « des Clauses Contractuelles Types (CCT) » reste néanmoins valide. Selon le juge européen, la décision de la Commission du 5 février 2010 comporte bien des « mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer ». Il appartient donc désormais aux sociétés ayant eu recours au « Privacy Shield » de régulariser leur situation en mettant éventuellement en place des CCT.
Et pour aller plus loin, découvrez toutes nos formations en compliance, audit et risques !