La Cour de justice de l'Union européenne a déclaré invalide le bouclier de protection des données pour les transferts de données entre l'UE et les États-Unis
Le « Privacy Shield » est un accord conclu entre la Commission européenne et le secrétaire américain au Commerce qui autorisait le transfert de données de l'UE vers les États-Unis et faisait suite à la déclaration d'invalidité du « Safe Harbour Pact », l'accord précédent entre l'UE et les États-Unis en matière de transfert de données.
La décision rendue par la Cour de justice de l'Union européenne le 16 juillet 2020 aura de graves conséquences politiques sur les relations entre l'UE et les États-Unis, ainsi que pour les prestataires américains et les entreprises européennes.
La décision
Conformément au règlement général sur la protection des données (ci-après dénommé « RGPD »), le transfert de données en dehors de l'UE ne peut avoir lieu que si le pays tiers est en mesure de garantir un niveau de protection adéquat.
La Commission européenne peut considérer qu'un pays tiers assure un niveau de protection adéquat en raison de sa législation nationale ou parce qu'il est partie à un accord international (tel que le « Safe Harbour Pact », qui a été déclaré invalide par la décision 206/1250 et qui concernait l'exportation de données de l'UE vers les États-Unis).
En l'absence d'une décision de constatation de l'adéquation, un transfert de données ne peut avoir lieu que si le responsable du traitement, établi dans l'Union européenne, offre des garanties adéquates, qui peuvent résulter des clauses contractuelles types adoptées par la Commission (décision 2010/87), et si les personnes concernées disposent de droits opposables et de voies de recours efficaces.
En l'absence d'une décision d'adéquation ou de garanties adéquates, c'est le RGPD qui détermine en dernier ressort les conditions dans lesquelles un tel transfert peut avoir lieu.
Le niveau de protection requis dans le cadre d'un transfert de données vers un pays tiers est équivalent au niveau de garantie offert dans les États membres de l'UE.
L'évaluation de ce niveau de protection porte à la fois sur les dispositions contractuelles convenues entre les parties (l'exportateur de données établi dans l'Union et le destinataire du transfert établi dans un pays tiers) et sur l'accès des autorités publiques de pays tiers aux données, ainsi que sur d'autres éléments du système juridique du pays vers lequel les données sont transférées.
Plus précisément, la législation régissant les programmes de surveillance américains ne réduit pas le traitement des données des personnes concernées de l'UE et ne limite pas les pouvoirs des autorités américaines, ce qui ne permet pas d'offrir des garanties suffisantes aux citoyens européens susceptibles d'être soumis à la surveillance de masse exercée par les États-Unis.
Pour toutes ces raisons, la Cour a déclaré, par l'arrêt 2016/1250, que l'accord « Privacy Shield » était invalide.
La Cour a également estimé qu'en l'absence d'une décision d'adéquation valide adoptée par la Commission, l'autorité chargée de la protection des données doit suspendre ou interdire un transfert de données à caractère personnel vers un pays tiers lorsqu'elle estime que les conditions requises ne sont pas remplies.
La Cour a déclaré que la décision 2010/87 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des entités établies dans des pays tiers était valide. Il ne fait aucun doute que les motifs de la suppression du Privacy Shield auront également des répercussions sur les clauses contractuelles types.
Par conséquent, les prestataires américains qui se sont appuyés sur le bouclier de protection des données comme base juridique pour le transfert de données de l'UE vers les États-Unis devront adopter une autre solution, telle que les clauses contractuelles types.
L'entreprise italienne, en tant qu'exportateur de données, et l'autorité chargée de la protection des données devront procéder à une évaluation complexe de l'adéquation des garanties offertes par la partie importatrice des données et de la réglementation en vigueur dans ce pays, en tenant compte des responsabilités qui en découlent.
Implications pratiques
Conséquences sur les activités commerciales
La décision 2016/1250 ne couvre pas les transferts de données nécessaires vers les États-Unis (par exemple, l'envoi d'e-mails à une personne aux États-Unis ou la réservation d'un voyage aux États-Unis).
Les entreprises européennes peuvent-elles continuer à faire appel à des prestataires américains ? Pour l'instant, la réponse semble être non, car tous les principaux prestataires sont susceptibles d'être soumis à la surveillance du gouvernement américain.
Les entreprises peuvent-elles continuer à faire appel à des prestataires américains basés dans l'UE ? Dans ce cas, il incombe aux entreprises européennes de s'assurer que les flux de données à caractère personnel « intra-groupe » vers les États-Unis sont conformes au RGPD. Les entreprises devront désormais examiner attentivement ces flux de données et déterminer s'il convient de conserver les données en Europe ou dans tout autre pays offrant une meilleure protection de la vie privée, plutôt que de les transférer vers les États-Unis.
Conséquences sur les droits des consommateurs
Les utilisateurs sont libres d'envoyer leurs données à caractère personnel directement vers un pays tiers, par exemple lorsqu'ils utilisent un site web chinois ou américain. Toutefois, les consommateurs ne peuvent pas partager directement les données d'autres personnes (par exemple, des amis ou des collègues) avec un prestataire américain, à moins d'avoir obtenu leur consentement libre, spécifique, éclairé et sans équivoque.