Privacy Shield : annulation du transfert de données entre les États-Unis et l’Europe

Privacy Shield : annulation du transfert de données entre les États-Unis et l’Europe

Le 16 juillet dernier, La Cour de justice de l’Union européenne (CJUE) s’est prononcée au sujet du régime de transferts de données personnelles de l’Union européenne vers les États-Unis dans l’affaire Schrems II. Retour sur cette décision de justice explosive qui risque de bouleverser un bon nombre d’entreprises de l’écosystème numérique.

La réglementation américaine jugée non conforme au RGPD

L'Europe annule le Privacy Shield

Pour comprendre cet arrété, il faut remonter le temps jusqu’en 2016, date à laquelle la Commission européenne a adopté le Privacy Shield. Il s’agit du bouclier pour la protection de la vie privée qui fait suite à l’annulation de l’accord du Safe Harbor par Max Schrems, l’avocat autrichien défenseur de la vie privée. Cette convention autorisait la transmission des données entre l’Union européenne et les opérateurs américains ayant accepté ses principes de protection des données sans autre formalité.

Il y a quelques jours, la CJUE a décidé de revenir sur décision pour finalement invalider le Privacy Shield jugé incompatible avec le droit européen et qui représenterait un risque majeur pour les citoyens. Avec cette énième décision, c’est un véritable boomerang qui revient en pleine face des Etats-Unis. Bien qu’applaudit par les défenseurs des libertés, cet arrêté pose un problème majeur et met dans une position délicate, certains acteurs Outre-Atlantique qui s’appuyaient sur cette clause pour exploiter les données personnelles des utilisateurs européens.

Qui est concerné par cette invalidation et quel sera son impact ?

Toutes les entreprises utilisant les transferts de données personnelles aux Etats-Unis vont être impactées par l’invalidation du Privacy Shield, notamment les GAFA. Sont également concernées les entreprises, dont les serveurs sont situés sur le sol américain et ce, quelque soit leur taille, soit plus de 5 300 entreprises. Les échanges numériques transatlantiques, tels que les envois d’emails par exemple, ne subiront aucunes modifications puisque ce dispositif vise uniquement les données personnelles des citoyens européens. En revanche, les géants américains du numérique ne pourront plus profiter des SCC (pour clauses contractuelles types ou Standard Contractual Clauses en anglais).

Pour Victoria Espinel, la présidente de la Business Software Alliance (le lobby européen des éditeurs de logiciels), cet arrêté représente un défi majeur pour « plus de 5.300 entreprises, dont 70 % de PME, à travers une variété de secteurs, à un moment où la faculté d’envoyer des données à l’étranger est cruciale pour la reprise économique suite au Covid-19 ». D’après Elsa Malaty, avocate spécialisée en contentieux de la propriété intellectuelle, la décision de la seconde plus haute juridiction de l’U.E risque d’entraîner des conséquences inattendues : “les premières concernées, pourraient être les entreprises de l’U.E. qui devront mettre en place ou renforcer leurs politiques pour évaluer les pays tiers vers lesquels elles envoient des données personnelles de résidents de l’Union Européenne”.

Que risquent les entreprises en cas de non-respect du Privacy Shield?

Image qui représente des données personnelles privées des utilisateurs européens

Les entreprises visées par le dispositif du Privacy Shield vont devoir revoir leur réglementation au risque de se mettre en infraction avec le RGPD. Les amendes prévues à ce titre sont excessivement important : 20 millions d’euros, ou 4 % du chiffre d’affaires mondial de l’entreprise (c’est le montant le plus haut qui sera retenu), de quoi dissuader les plus réfractaires. « Il est clair que les Etats-Unis vont devoir changer sérieusement leurs lois sur la surveillance, si les entreprises américaines veulent continuer à jouer un rôle sur le marché européen », a déclaré Max Schrems dans un communiqué.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *