Sabine Marcellin, Avocate Associée de DLGA,
Laurent Marcoz, Head of GDPR Practice d’OAKland Group
Bien qu’attendue, l’invalidation du Privacy Shield par la Cour de Justice de l’Union Européenne n’en demeure pas moins un acte fort dans le domaine de la protection de la vie privée, et dont les conséquences sont loin d’être anodines pour les entreprises opérant des transferts de données personnelles vers les Etats-Unis.
Transfert de données hors UE : ce que cadre le RGPD
Mis en œuvre par l’UE pour protéger les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel, le RGPD (Règlement Général sur la Protection des Données) établit notamment qu’il est illégal de transférer des données personnelles hors de l’Union Européenne sans mécanisme de transfert ou dérogation approuvé.
A ce titre, il prévoit plusieurs outils juridiques pour encadrer le transfert de données à caractère personnel vers des pays en dehors de l’UE, les décisions d’adéquation, comme l’accord Privacy Shield qui en constituait l’un des principaux.
Le Privacy Shield, c’est quoi ?
Le Privacy Shield, ou Bouclier de Protection des Données, est un accord conclu entre l’UE et les Etats-Unis dans le but d’assurer un niveau de protection des données à caractère personnel transférées vers les Etats-Unis « essentiellement équivalent » aux exigences européennes. Cet accord instaure un mécanisme d’auto-certification géré par le Département du Commerce américain par lequel les entreprises américaines, qu’elles soient responsables de traitement ou sous-traitants, doivent s’engager à respecter les principes définis par le texte (information des personnes, finalité limitée des traitements, sécurité des données, etc.).
Il est entré en vigueur le 1er août 2016 pour succéder au Safe Harbor
Un accord finalement insatisfaisant pour la CJUE
De nouvelles lois américaines permettent désormais à la NSA de partager avec 16 autres agences, dont le FBI, de grandes quantités de données personnelles collectées sans mandat ni décision de justice ou autorisation du Congrès. De plus, le manque d’indépendance du médiateur prévu par le Privacy Shield, ainsi que le caractère illusoire du droit au recours des Européens sont dès lors une évidence. Ces deux points principaux ont conduit la CJUE à rendre le 16 juillet dernier un arrêt majeur invalidant le Privacy Shield avec effet immédiat.
De fait, cette décision impacte significativement une activité économique évaluée à 7100 milliards de dollars entre les quelques 5400 entreprises US et leurs partenaires commerciaux européens.
Et après ?
Au-delà des aspects financiers, l’organisation responsable du traitement des données personnelles a une forte exposition à un risque juridique si elle délègue tout ou partie de ce traitement à des acteurs US, ou bien si elle est elle-même une compagnie US.
De quels outils disposent dès lors cette organisation pour continuer ses activités commerciales et opérationnelles avec l’UE ? Quelques éléments de réponses vous seront transmis dans notre prochain article… »
DLGA est un cabinet d’avocats d’affaires présent à Paris et à Lille organisé en différents départements, couvrant les principaux domaines du droit des affaires. DLGA offre à ses clients Français et étrangers une prestation globale, grâce à la complémentarité de ses équipes et à son réseau de correspondants à l’étranger, expressément choisis pour leurs compétences, et la qualité de leur collaboration. Le cabinet dispose d’une capacité éprouvée à mobiliser et coordonner des équipes spécialisées de haut niveau dans différents pays. Il est ainsi reconnu pour son expérience et son savoir-faire en matière de transactions internationales.