Dans un arrêt important du 16 juillet 2020, la Cour de justice de L’Union européenne a invalidé l’accord « Privacy Shield ». Ce texte encadrait depuis 2016 les échanges de données personnelles entre l’Europe et les Etats-Unis. La raison invoquée ? L’incompatibilité entre les lois de renseignement en vigueur aux USA et les standards européens de protection des...
Dans un arrêt important du 16 juillet 2020, la Cour de justice de L’Union européenne a invalidé l’accord « Privacy Shield ».
Ce texte encadrait depuis 2016 les échanges de données personnelles entre l’Europe et les Etats-Unis.
La raison invoquée ? L’incompatibilité entre les lois de renseignement en vigueur aux USA et les standards européens de protection des données personnelles (RGPD).
Cette décision de justice va impacter tous les acteurs du numérique.
Une décision majeure pour les entreprises du numérique
Le 16 juillet 2020, dans le cadre du litige opposant depuis 7 ans Facebook et l’avocat autrichien défenseur de la protection de la vie privée Max Schrems, les juges européens ont décidé d’invalider et donc d’annuler le Privacy Shield.
Le « Privacy Shield » était l’accord qui encadrait depuis 2016 les transferts de données personnelles entre les pays membres de l’Union européenne et les Etats-Unis. Le « Privacy Shield » avait remplacé le dispositif « Safe Harbor » qui avait lui-même été invalidé en 2015 pour des raisons analogues.
C’était sur le Privacy Shield que les acteurs du numérique américains (dont les GAFAM) s’appuyaient pour traiter les données personnelles de résidents européens. On mesure l’impact de la décision de la cour de justice européenne.
Pourquoi la fin du « Privacy Shield » ?
Depuis son origine, l’accord « Privacy Shield » attise les critiques des associations de défense de la vie privée et de plusieurs CNIL européennes. Pourquoi ? Selon ses opposants, le Privacy Shield ne garantit pas suffisamment la vie privée des résidents européens.
Les Etats-Unis n’ont pas d’équivalent du règlement européen sur la protection des données (RGPD). Les lois américaines sur le renseignement accordent un pouvoir de surveillance très important aux autorités publiques et autres agences indépendantes. On peut penser notamment à la loi sur la surveillance des communications électroniques qui accorde un pouvoir d’intrusion à la NSA.
Image credit: http://www.slate.fr/
La Cour de justice de l’Union européenne a estimé que les lois de surveillance américaines étaient incompatibles avec les standards de protection des données imposés par le RGPD européen.
L’impact de cette décision sur l’écosystème numérique
La fin du Privacy Shield signifie que les données personnelles des résidents européens ne pourront plus être stockées et traitées sur des serveurs aux Etats-Unis ?
Il existe un mécanisme juridique qui permet de réaliser les échanges de données entre entreprises européennes et américaines : c’est ce que l’on appelle les « clauses contractuelles types » (Standard Contractual Clauses »). Il s’agit de contrats qui permettent à deux entreprises d’échanger des données à caractère personnel à condition que les lois du pays de l’entreprise destinataire des données garantissent le même niveau de protection. Mais étant donné la décision prise par la CJUE, ces mécanismes ne pourront pas continuer de s’appliquer longtemps entre des entreprises européennes et des entreprises américaines.
Même si l’on a beaucoup de mal à imaginer la fin des échanges de données personnelles entre les Etats-Unis et les pays européens, il faut bien reconnaître que la décision de la CJUE a renforcé la protection de la vie privée et des données à caractère personnel en Europe.
Insight & Feedback Management, dont les serveurs sont hébergés en Europe, n’est pas impacté par le Privacy Shield
Dans l’attente d’une évolution de la législation américaine et en cas d’invalidé des clauses contractuelles types, les entreprises du numérique américaines devront arbitrer entre deux solutions coûteuses :
- Rapatrier les données à caractère personnel concernant les résidents européens sur le sol européen.
- Ne rien faire et donc s’exposer aux sanctions prévues en cas de non-respect du RGPD. Ces sanctions sont dissuasives puisqu’elles peuvent s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.
Chez Skeepers, nous ne sommes pas confrontés à ce dilemme dans la mesure où tous nos serveurs sont basés sur le sol européen. Nous proposons une solution 100% conforme au RGPD.