Privacy Shield : la justice casse le bouclier de données UE-États-Unis

Data & StockageJuridiqueRégulations

La Cour de justice de l’UE a invalidé la décision « Privacy Shield » sur les échanges transatlantiques de données à des fins commerciales.

Le bouclier de données UE-États-Unis ou « Privacy Shield » a sauté.

Jeudi, la Cour de justice de l’Union européenne (CJUE) a invalidé le mécanisme qui, depuis l’été 2016, encadre les échanges transatlantiques de données à caractère personnel à des fins commerciales.

C’est la décision de la Commission européenne relative à l’adéquation de la protection assurée par le bouclier de transfert des données UE-US qui est invalidée.

Selon la Cour, « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées […] ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire. »

Schrems II

Le Privacy Shield est un système dérogatoire qui permettait à des entreprises certifiées de traiter des données transférées de l’Union vers les États-Unis.

La confidentialité data étant davantage réglementée en Europe qu’outre-Atlantique, le Privacy Shield fournissait un même cadre à un ensemble de firmes respectant certaines mesures. Des milliers de sociétés, dont les GAFAM, ont été certifiées dans ce cadre par le Département américain du Commerce.

Or, dès son introduction, le Privacy Shield a été attaqué par Max Schrems, dejà à l’origine du naufrage de l’accord Safe Harbor. Prédécesseur du Privacy Shield, Safe Harbor avait été invalidé fin 2015 par la CJUE, à la suite d’une affaire portée par le défenseur de la protection des données et juriste autrichien alors opposé à Facebook.

« Clauses contractuelles »

L’invalidation du Privacy Shield est donc un nouveau revers pour plusieurs milliers d’entreprises qui bénéficiaient de la sécurité juridique que leur apportait le bouclier.

Cependant, elles peuvent toujours s’engager, individuellement, à respecter des mesures de traitement des données de leurs utilisateurs européens. La décision de Bruxelles sur la légalité des « clauses contractuelles types » pour le transfert de données à caractère personnel ayant été validée.

Dans un communiqué, BSA | The Software Alliance, qui défend les intérêts de grands groupes du logiciel, dont Microsoft, Oracle et IBM, s’est déclarée « soulagée » que ces clauses contractuelles (standard contractual clauses, SCC) restent valides.

Les États-Unis, de leur côté, se disent « profondément déçus ». Nous « espérons pouvoir limiter les conséquences négatives pour la relation économique transatlantique qui pèse 7 100 milliards de dollars et qui est vitale pour nos citoyens, entreprises et gouvernements respectifs », a souligné Wilbur Ross, le secrétaire américain au commerce.

(crédit photo © shutterstock)

Lire aussi :

Avis d'experts de l'IT