Rechercher
  • laurapodjarny

Annulation du Privacy Shield et recommandations pratiques

Le 16 juillet 2020, la Cour de Justice de l'Union Européenne a invalidé le Privacy Shield qui avait pour effet de faciliter les transferts de données personnelles de l'Union Européenne vers les États-Unis. 


Pour mémoire, le « Privacy Shield » également désigné par « Bouclier de Protection des Données », est un mécanisme d'auto-certification pour les entreprises établies aux États-Unis qui avait été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entreprise européenne vers les États-Unis.  


La Cour de Justice de l'Union européenne (CJUE) a justifié sa décision d'invalidation en raison des insuffisances du Privacy Shield en termes de : 

- droits effectifs et opposables au profit des personnes dont les données à caractère personnel sont transférées, et 

- possibilité effective d'exercer des voies de recours administratives et judiciaires.

Ces deux critères du transfert des données personnelles vers les États-Unis sont en effet fondamentaux pour la CJUE. 


Désormais et pour tous vos prestataires situés aux États-Unis et pouvant avoir accès à des données personnelles que vous traitez (par exemple Salesforce, Datadog, Slack, Dropbox etc. pouvant avoir accès à des données personnelles de vos collaborateurs, clients, utilisateurs, sous-traitants etc.), des démarches particulières doivent être engagées par vos soins afin d'assurer la légalité des transferts de données opérés dans le cadre de votre activité.  


Ces démarches consistent, pour chacun de vos prestataires situés aux États-Unis, à procéder à : 

1. Une analyse de l’accord de transfert de données que vous pourriez avoir conclu avec ce prestataire afin de déterminer si le niveau de protection proposé est suffisant, compte tenu des exigences précitées. Le cas échéant, exiger une mise en conformité de l'accord. 

2. La rédaction d'un accord de transfert de données conformes aux exigences de la CJUE que vous pourrez conclure avec vos nouveaux prestataires ainsi que ceux avec lesquels vous n'auriez pas encore d'accord de transfert de données. Pour ce faire, nous vous recommandons de :  

- reprendre les clauses contractuelles types mises au point par la Commission européenne. Celles-ci sont conformes aux exigences du Règlement Général à la Protection des Données (RGPD) et n'ont pas été remises en cause par la CJUE. 

- offrir éventuellement des garanties supplémentaires aux personnes concernées par le transfert de leurs données personnelles. Ces garanties permettent d'atteindre un niveau de protection des données personnelles le plus proche possible du niveau de protection européen garanti par le RGPD et vous permettraient de rassurer les personnes dont vous traitez les données en évitant au maximum le risque d'avoir à mettre à jour cet accord à nouveau si la position de la CJUE venait à se durcir encore.


Enfin, les garanties ainsi obtenues pourront être reflétées dans vos accords avec vos utilisateurs dont les données personnelles font l'objet d'un transfert.


Ces modifications bouleversent le fonctionnement de votre activité, néanmoins la décision de la Cour de Justice est d'application immédiate, ce qui signifie qu'aucun délai de mise en conformité n'a été prévu. Le Comité Européen de Protection des Données affirme ainsi qu’aucun délai de grâce ne sera accordé aux entreprises européennes qui transfèrent des données vers les États-Unis, tous les transferts effectués sur la base du Privacy Shield sont désormais illégaux.


La non-conformité à la position de la CJUE permet désormais à chaque personne dont les données personnelles sont transférées aux États-Unis d'agir en justice contre le responsable du traitement des données pour faire valoir ses droits. 


La CNIL devrait faire part de ses recommandations très prochainement ce qui permettra d'affiner les mesures à mettre en place. 

26 vues

Posts récents

Voir tout

Tous droits réservés @IMPALA2020