Le mois dernier, la Cour de justice de l’Union européenne (CJUE) a résolu annuler une décision de la Commission européenne concernant le Bouclier de protection des données UE-États-Unis, aussi connu sous le nom EU-US Privacy Shield. Cependant, l’étendue de cette décision reste peu claire pour les sociétés concernées, de plus que différentes interprétations de l’arrêt ont effloré dès sa publication.
Le texte annulé, avait entré en vigueur dès l’été 2016 et permettait aux entreprises américaines de traiter les données personnelles des utilisateurs internet européens aux États-Unis, tout en assurant le même niveau de protection aux informations dans les deux régions. Il s’agissait d’un accord formulé pour remplacer le Safe Harbor, un outil d’homologation du niveau de protection aux données personnelles entre les EU et l’UE, crée en 2012.
Dimanche 16 juillet 2020, la CJUE a rendu l’arrêt informant de sa décision concernant le cas C-311/18 de l’affaire « Schrems II ». Plus tard, la CJUE publiait un communiqué expliquant les raisons derrière l’invalidation de la décision 2016/1250, relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis.
Dans ce document, la Cour exprime que « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis […] ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité ». De même, le communiqué remarque que le Privacy Shield « ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux. »
D’autre côté, le même communiqué expliquait que la CJUE avait validé la décision 2010/87 de la Commission relative aux clauses contractuelles types (CCT) établies pour le transfert de données vers des pays tiers.
Un jour après la publication de l’arrêt, le Comité Européen de la Protection des données (CEPD) se félicitait de la prise de position de la CJUE arguant qu’elle mettait « en évidence le droit fondamental à la vie privée dans le cadre du transfert des données personnelles » et qu’elle avait repassé sur les principaux défauts que le CEPD avait identifiés. Cette instance a également encouragé l’UE et les États-Unis à trouver une nouvelle solution dans la matière qui soit « complète et efficace ».
Aux États-Unis, le secrétaire du Commerce américain, Wilbur Ross, s’est montré « profondément déçu » par la décision de la CJUE, déclarant vouloir « limiter les conséquences négatives aux relations transatlantiques » occasionnées par cette tournure des événements. « Les flux de données sont essentiels non seulement pour les entreprises technologiques, mais aussi pour les entreprises de toutes tailles dans tous les secteurs. Alors que nos économies continuent leur redressement après le COVID-19, il est essentiel que les entreprises […] puissent transférer des données sans interruption ».
D’après l’arrêt de la CJUE, tout transfert de données vers les entreprises concernées dans le Privacy Shield, les GAFAM inclus, seraient suspendus. Cependant, suite à la décision de la Cour Microsoft a publié un communiqué assurant que le nouvel accord ne changerait pas les procédures de traitement d’informations personnelles.
« Nous voulons être clairs : si vous êtes un client du secteur commercial ou public, vous pouvez continuer à utiliser les services de Microsoft tout en respectant le droit européen. L’arrêt de la Cour ne changera rien à votre capacité à transférer les données entre l’UE et les États-Unis en se servant du réseau de Microsoft. », informa l’entreprise américaine.
Face aux incertitudes, le 24 juillet le CEPD a mis en ligne un FAQ expliquant les conséquences de l’invalidation.
Depuis 1995, en accord à la directive 95/46/CE, l’Union européenne interdit tout transfert de données personnelles vers des pays où le niveau de protection de ces informations soit inférieur à celui accordé par les pays du bloc. Plus récemment, le règlement 2016/679 du Parlement européen et du Conseil, a renforcé les normes qui encadrent la protection des personnes physiques à l’égard du traitement de ses données personnelles.
Source de l’image : ec.europa.eu