Le bouclier de protection des données UE-États-Unis jugé illégal
La Cour de justice a jugé illégal le bouclier de protection des données UE-USA dans son arrêt du 16 juillet 2020. Selon la Cour, ce bouclier ne fournit pas de garanties suffisantes que le transfert de données à caractère personnel vers les États-Unis s'effectue conformément à la réglementation européenne applicable en matière de protection de la vie privée (RGPD).
C'est plus précisément dans l'affaire Schrems II que la Cour de justice s'est prononcée sur la validité du bouclier de protection de la vie privée UE-États-Unis.
1. Qu'est-ce que le bouclier de protection de la vie privée UE-USA (Privacy Shield UE-USA) ?
Le bouclier de protection de la vie privée UE-USA a été créé (voir notre article à ce sujet) pour permettre le transfert de données à caractère personnel en dehors de l'Union européenne vers les États-Unis.
Il s'agit d'un cadre juridique auquel les entreprises européennes et américaines pouvaient souscrire pour que le transfert de données à caractère personnel au-delà de l'océan Atlantique soit valide, adéquat et conforme à la réglementation européenne sur la protection des données personnelles.
Ce cadre prévoyait un certain nombre d'obligations et d'engagements que les entreprises affiliées devaient respecter. On pouvait considérer que les entreprises, une fois qu'elles avaient adhéré à ce « Privacy Shield », pouvaient garantir un niveau de protection suffisant (adéquat) en ce qui concerne ces transferts de données à caractère personnel.
Toutefois, cette approche n'a pas été acceptée par la Cour de justice. En effet, dans son jugement du 16 juillet 2020, elle est arrivée à la conclusion que le bouclier de protection de la vie privée (ou « Privacy Shield »), tel qu'il existe aujourd'hui, n'offre pas de garanties suffisantes par rapport aux réglementations applicables en matière de protection de la vie privée au sein de l'Union européenne (RGPD).
2. Pourquoi la Cour de justice a-t-elle jugé le bouclier de protection de la vie privée UE-USA illégal ?
La Cour de justice est préoccupée par l'accès des autorités gouvernementales américaines aux données personnelles transférées d'Europe vers les États-Unis.
Après tout, le RGPD exige de prévoir un niveau de protection (presque) équivalent en ce qui concerne les données traitées dans le cadre d’un transfert international de données. Ce niveau de protection est évalué sur base des accords contractuels conclus à cet égard (tels que les clauses contractuelles types) mais aussi sur base de la législation - applicable aux entreprises qui y adhèrent.
Et c'est justement là que le bât blesse.
La Cour constate que le gouvernement américain n'est pas lié par les obligations et engagements auxquels les membres du « Privacy Shield » ont souscrit. Ces entreprises sont et restent liées par l'accès étendu que le gouvernement américain impose à ces données.
Cela n'offre pas un niveau de protection adéquat et ce transfert viole donc le RGPD.
Selon la Cour de justice, le cadre fourni par le « Privacy Shield » est donc illégal.
La Cour de justice déclare que les clauses contractuelles types sont légales en principe, mais qu'en pratique, elles peuvent difficilement être utilisées pour les transferts vers les États-Unis, puisque ceux-ci seront également régis par le droit américain.
3. Conclusion
Il va sans dire que cette évaluation constitue un obstacle sérieux à l’échange des données personnelles avec les États-Unis, ce qui a un impact encore plus important compte tenu des nombreux services américains dans le cloud (Office, Amazon, Dropbox, Facebook...).
Par conséquent, l'utilisation de ces services par les entreprises européennes est actuellement fondamentalement illégale.
Pour l'instant, la manière de procéder n'est pas claire, car cette décision porte atteinte à la fois au « Privacy Shield », aux clauses contractuelles types et aux règles d'entreprise contraignantes. Une période d'incertitude se présente donc à cet égard.
Comme aucune période de transition n'est prévue, les transferts de données dans le cadre du bouclier de protection de la vie privée sont directement illégaux et doivent cesser immédiatement.
Dans de nombreux cas, la relation contractuelle entre les parties devra prévoir une clause selon laquelle aucun transfert vers les États-Unis n'est autorisé. Toutefois, cela est difficile pour les entreprises américaines étant donné les pouvoirs étendus du gouvernement américain de demander des données stockées en dehors des États-Unis sur la base de la « loi sur le Cloud » (« Cloud-act »).
Conformément à l'article 49 du RGPD, les transferts vers des États qui ne peuvent pas assurer un niveau de protection adéquat sont toujours possibles dans un certain nombre de situations, comme, par exemple, des raisons impérieuses d'intérêt public et dans en cas de consentement explicite et informé des personnes concernées.
Toutefois, ces possibilités sont limitées et donc difficiles à utiliser concrètement.
En tout état de cause, nous vous tiendrons informés à ce sujet.
Si vous souhaitez obtenir de plus amples informations ou si vous souhaitez être assisté, n'hésitez pas à nous contacter au +32 (0)2 747 40 07 ou via info@seeds.law.
Koen De Puydt (Partner)
Toon Delie (Senior Associate)
