Aller au contenu
Logo Skeepers
Open mobile menu button
Données personnelles : La justice européenne invalide le Privacy Shield

Données personnelles : La justice européenne invalide le Privacy Shield

Marine Aubagna 3 août 2020

Dans un arrêt important du 16 juillet 2020, la Cour de justice de L’Union européenne a invalidé l’accord « Privacy Shield ».

Ce texte encadrait depuis 2016 les échanges de données personnelles entre l’Europe et les Etats-Unis. 

La raison invoquée ? L’incompatibilité entre les lois de renseignement en vigueur aux USA et les standards européens de protection des données personnelles (RGPD).

Cette décision de justice va impacter tous les acteurs du numérique. 

 

Une décision majeure pour les entreprises du numérique

Le 16 juillet 2020, dans le cadre du litige opposant depuis 7 ans Facebook et l’avocat autrichien défenseur de la protection de la vie privée Max Schrems, les juges européens ont décidé d’invalider et donc d’annuler le Privacy Shield

 

privacyshield rgpd reaction

 

Le  « Privacy Shield » était l’accord qui encadrait depuis 2016 les transferts de données personnelles entre les  pays membres de l’Union européenne et les Etats-Unis. Le « Privacy Shield » avait remplacé le dispositif « Safe Harbor » qui avait lui-même été invalidé en 2015 pour des raisons analogues. 

C’était sur le Privacy Shield que les acteurs du numérique américains (dont les GAFAM) s’appuyaient pour traiter les données personnelles de résidents européens. On mesure l’impact de la décision de la cour de justice européenne.

 

Pourquoi la fin du « Privacy Shield » ?

Depuis son origine, l’accord « Privacy Shield » attise les critiques des associations de défense de la vie privée et de plusieurs CNIL européennes. Pourquoi ? Selon ses opposants, le Privacy Shield ne garantit pas suffisamment la vie privée des résidents européens. 

Les Etats-Unis n’ont pas d’équivalent du règlement européen sur la protection des données (RGPD). Les lois américaines sur le renseignement accordent un pouvoir de surveillance très important aux autorités publiques et autres agences indépendantes. On peut penser notamment à la loi sur la surveillance des communications électroniques qui accorde un pouvoir d’intrusion à la NSA.

 

Les lois américaines sur le renseignement

Image credit: http://www.slate.fr/

 

La Cour de justice de l’Union européenne a estimé que les lois de surveillance américaines étaient incompatibles avec les standards de protection des données imposés par le RGPD européen.

 

L’impact de cette décision sur l’écosystème numérique

La fin du Privacy Shield signifie que les données personnelles des résidents européens ne pourront plus être stockées et traitées sur des serveurs aux Etats-Unis ?

Il existe un mécanisme juridique qui permet de réaliser les échanges de données entre entreprises européennes et américaines : c’est ce que l’on appelle les « clauses contractuelles types » (Standard Contractual Clauses »). Il s’agit de contrats qui permettent à deux entreprises d’échanger des données à caractère personnel à condition que les lois du pays de l’entreprise destinataire des données garantissent le même niveau de protection. Mais étant donné la décision prise par la CJUE, ces mécanismes ne pourront pas continuer de s’appliquer longtemps entre des entreprises européennes et des entreprises américaines. 

 

CJEU

 

Même si l’on a beaucoup de mal à imaginer la fin des échanges de données personnelles entre les Etats-Unis et les pays européens, il faut bien reconnaître que la décision de la CJUE  a renforcé la protection de la vie privée et des données à caractère personnel en Europe.

 

MyFeelBack, dont les serveurs sont hébergés en Europe, n’est pas impacté par le Privacy Shield

Dans l’attente d’une évolution de la législation américaine et en cas d’invalidé des clauses contractuelles types, les entreprises du numérique américaines devront arbitrer entre deux solutions coûteuses :

  • Rapatrier les données à caractère personnel concernant les résidents européens sur le sol européen. 
  • Ne rien faire et donc s’exposer aux sanctions prévues en cas de non-respect du RGPD. Ces sanctions sont dissuasives puisqu’elles peuvent s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Chez MyFeelBack, nous ne sommes pas confrontés à ce dilemme dans la mesure où tous nos serveurs sont basés sur le sol européen. Nous proposons une solution 100% conforme au RGPD.

 

 

New Call-to-action