Privacy Shield : la justice casse le bouclier de données UE-États-Unis

Le bouclier de données UE-États-Unis ou « Privacy Shield » a sauté.

Jeudi, la Cour de justice de l’Union européenne (CJUE) a invalidé le mécanisme qui, depuis l’été 2016, encadre les échanges transatlantiques de données à caractère personnel à des fins commerciales.

C’est la décision de la Commission européenne relative à l’adéquation de la protection assurée par le bouclier de transfert des données UE-US qui est invalidée.

Selon la Cour, « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées […] ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire. »

Schrems II

Le Privacy Shield est un système dérogatoire qui permettait à des entreprises certifiées de traiter des données transférées de l’Union vers les États-Unis.

La confidentialité data étant davantage réglementée en Europe qu’outre-Atlantique, le Privacy Shield fournissait un même cadre à un ensemble de firmes respectant certaines mesures. Des milliers de sociétés, dont les GAFAM, ont été certifiées dans ce cadre par le Département américain du Commerce.

Or, dès son introduction, le Privacy Shield a été attaqué par Max Schrems, dejà à l’origine du naufrage de l’accord Safe Harbor. Prédécesseur du Privacy Shield, Safe Harbor avait été invalidé fin 2015 par la CJUE, à la suite d’une affaire portée par le défenseur de la protection des données et juriste autrichien alors opposé à Facebook.

« Clauses contractuelles »

L’invalidation du Privacy Shield est donc un nouveau revers pour plusieurs milliers d’entreprises qui bénéficiaient de la sécurité juridique que leur apportait le bouclier.

Cependant, elles peuvent toujours s’engager, individuellement, à respecter des mesures de traitement des données de leurs utilisateurs européens. La décision de Bruxelles sur la légalité des « clauses contractuelles types » pour le transfert de données à caractère personnel ayant été validée.

Dans un communiqué, BSA | The Software Alliance, qui défend les intérêts de grands groupes du logiciel, dont Microsoft, Oracle et IBM, s’est déclarée « soulagée » que ces clauses contractuelles (standard contractual clauses, SCC) restent valides.

Les États-Unis, de leur côté, se disent « profondément déçus ». Nous « espérons pouvoir limiter les conséquences négatives pour la relation économique transatlantique qui pèse 7 100 milliards de dollars et qui est vitale pour nos citoyens, entreprises et gouvernements respectifs », a souligné Wilbur Ross, le secrétaire américain au commerce.

(crédit photo © shutterstock)

Recent Posts

Numérisation de l’État : sprint engagé jusqu’à la présidentielle 2022

De FranceConnect au programme DcANT, tour d'horizon des chantiers prioritaires engagés par le Gouvernement d'ici…

1 jour ago

AIOps : quelles opérations IT sont optimisées ?

L'adoption de l'intelligence artificielle pour les opérations informatiques (AIOps) progresse au sein de grands groupes.…

1 jour ago

PC : vers une croissance sans précédent en Europe

Dans la zone EMEA, la demande soutenue de PC pour le travail et l'enseignement à…

1 jour ago

SolarWinds : de nouvelles armes du crime mises au jour

FireEye et Microsoft font la lumière sur divers malwares qui ont - ou semblent avoir…

2 jours ago

GAIA-X : comment se pilote l’infrastructure de données européenne

Avec la nomination d'un CEO et d'un CTO, GAIA-X lance ses opérations. Tour d'horizon de…

2 jours ago

Emploi : quelle place pour les femmes dans le numérique ?

Valoriser la reconversion des femmes dans les métiers du numérique n'est pas un luxe, mais…

2 jours ago