Sorry, this entry is only available in FR. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

Maître Olivier Iteanu, Avocat spécialisé en droit du numérique, répond aux questions de José Diz du site d’information « Place de l’IT » à propos de l’invalidation du Privacy Shield prononcée par la Cour de Justice de l’Union européenne le 23 Juillet 2020.

Pour rappel, le Privacy Shield aussi nommé « Bouclier de protection des données » est un accord négocié entre les États-Unis et l’Union européenne concernant un niveau de protection «adéquat» des données à caractère personnel, qui sont transférées par une entité européenne vers des entreprises établies aux États-Unis.

Dès 1995, la Commission européenne a adopté la directive 95/46/CE posant le cadre légal du traitement des données à caractère personnel et de leur libre circulation dans la communauté européenne. Puis, le Règlement Général sur la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR), entré en vigueur le 25 mai 2018, l’a suivi. Ce deuxième texte, d’application directe dans les pays communautaires de l’UE, interdit d’exporter ces données à caractère personnel hors des communautés européennes.

Il s’est alors posé la question du transfert des données vers les Etats-Unis, question particulièrement pertinente dans l’optique de la domination des géants informatiques américains GAFAM (Google Amazon, Facebook, Apple et Microsoft) sur le terrain de l’UE.

La première décision de la Commission européenne, Safe Harbor (Sphère de sécurité), adoptée en 2000, autorisant le transfert de données à caractère personnel de l’Europe vers les États-Unis, a été annulée par la Cour de Justice de l’Union européenne (CJUE) le 6 octobre 2015.

Le 12 juillet 2016, la Commission européenne adopte alors le Privacy Shield [bouclier de protection des données à caractère personnel]. C’est sur le Privacy Shield que la CJUE vient de trancher le 23 Juillet 2020 en décidant que cet accord n’assure aucun recours aux résidents européens qui souhaitent accéder à leurs données personnelles, les modifier, les effacer ou demander leur suppression. Il s’agit notamment de l’article 1 qui est jugé inadéquat par rapport à l’article 45 du RGPD (Transferts fondés sur une décision d’adéquation), compte tenu de l’ingérence des autorités publiques américaines, ce qui porte atteinte aux articles 7 (Respect de la vie privée et familiale) et 8 (Protection des données à caractère personnel) de la Charte des droits fondamentaux de l’Union, ainsi qu’à l’article 52 (Portée des droits garantis) et 47 (Droit à un recours effectif et à accéder à un tribunal impartial) de ladite Charte.

La CJUE juge enfin que les clauses contractuelles types présentent le niveau de protection suffisant, tant qu’elles constituent une reprise fidèle des dispositions du RGPD.

****
L’entretien est à retrouver en intégralité ici.