L’invalidation du Privacy Shield par les juges européens

Dans un arrêt du 16 juillet 2020, la Cour de justice de l’Union européenne a invalidé le « Privacy shield » : il n’est donc plus possible de s’y référer pour transférer des données en dehors de l’Union européenne vers les États-Unis.

Le transfert de données personnelles hors de l’Union européenne (UE) et de l’Espace Economique Européen (EEE) est encadré, et est possible à condition d’assurer un niveau de protection des données suffisant, adéquat et approprié.

Le Bouclier de Protection des Données, mieux connu sous le nom de « Privacy Shield », est un accord conclu en 2016 entre les États-Unis et l’Union européenne, qui permettait aux entreprises d’effectuer des transferts des données personnelles.

Par une décision du 16 juillet 2020 (aff. C-311/18, Data Protection Commissioner/Maximillian Schrems et Facebook Ireland), la CJUE a invalidé cet accord notamment car la surveillance et l’exploitation des données par l’administration américaine ne sont toujours pas suffisamment encadrées.

Les conséquences de cette décision sont colossales, dès lors que tout transfert de données personnelles vers les Etats-Unis effectués sur la base de ce cadre juridique est désormais illégal.

Dès lors, les opérateurs devront s’assurer que les transferts de données bénéficient des « garanties appropriées », par exemple en adoptant des clauses contractuelles types (CCT) de protection des données.

D’une manière générale, il conviendra de privilégier les échanges au sein de l’UE.