Transferts de données : Safe Harbor et Privacy Shield même destin

Transferts de données : Safe Harbor et Privacy Shield même destin

Comme pour le Safe Harbor en 2015, la Cour de Justice de l’UE invalide le Privacy Shield encadrant les transferts de données vers les Etats-Unis. En cause une incompatibilité avec le RGPD et la possibilité pour les autorités américaines d’accéder aux données.

En 2016, et malgré les doutes, la Commission européenne l’assurait, le successeur du Safe Harbor est « solide ». Avec ses « normes renforcées en matière de protection des données », le Privacy Shield était là pour durer.

L’optimisme de façade a été contredit une fois encore par la Cour de justice de l’UE. Celle-ci a de nouveau invalidé le dispositif encadrant les transferts de données entre l’Europe et les Etats-Unis. Ce « bouclier de protection » n’est tout simplement pas conforme aux principes du RGPD.

Les transferts de données de nouveau dans l’impasse

Pour la CUJE, la protection des données est tout simplement reléguée au second plan. De même, les citoyens européens dont les données sont transférées aux Etats-Unis ne peuvent prétendre à une protection juridictionnelle effective.

Le Privacy Shield consacre, comme le Safe Harbor avant lui, « la primauté des exigences relatives à la sécurité nationale » des US et de ses propres réglementations. En clair, le dispositif autorise « des ingérences dans les droits fondamentaux » des européens.

Le droit américain limite en effet la protection des données personnelles, susceptibles d’être exploitées dans le cadre de programmes de surveillance. Les Etats-Unis étaient en principe soumis au respect de certaines exigences.

Pour autant, celles-ci n’offrent aucune voie de recours aux individus face aux autorités américaines. Quant au mécanisme de médiation promu par la Commission européenne, il se révèle lui aussi insuffisant.

Les magistrats de la CUJE jugent ce mécanisme inopérant faute de prévoir un recours devant « un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union. » De même, l’indépendance du médiateur n’est pas assurée, pas plus que sa capacité à contraindre le renseignement US à respecter ses décisions.

Feu vert pour les clauses contractuelles, mais…

Avec le Privacy Shield, l’Europe s’est néanmoins offert un sursis de cinq ans depuis l’invalidation du Safe Harbor. L’exécutif européen pourrait donc être tenté une nouvelle fois de proposer un mécanisme comportant des failles équivalentes. Il est en effet peu probable que les Etats-Unis acceptent des concessions refusées jusqu’ici.

Les entreprises concernées par ces transferts de données, et notamment les fournisseurs Cloud, peuvent cependant être rassurées. Quoique… Si la CUJE a invalidé le Privacy Shield, elle a en revanche validé les clauses contractuelles types.

Cette validité est cependant soumise à des conditions et en particulier l’existence de mécanismes effectifs assurant le niveau de protection requis par l’UE. Or les juges ont justement considéré que les Etats-Unis n’apportaient pas ces garanties.

Exportateur et destinataire des donnés ont donc l’obligation de vérifier, préalablement au transfert, le respect du niveau de protection. A défaut, le destinataire doit en informer l’exportateur des données. Deux options alors : suspendre le transfert de données et/ou de résilier le contrat.

A lire également sur MyData

Services numériques basés sur les données vocales : les obligations légales à maîtriser

Guide pour un projet data voix compatible RGPD

La voix, l’interface de référence de demain des solutions numériques ? Le potentiel est là dans de nombreux secteurs. Voix et données vocales doivent toutefois être traitées dans les règles.

A propos de Christophe Auffray 353 Articles
De formation initiale en marketing Web et en économie, je me suis spécialisé par la suite dans la presse B2B consacrée à l'économie numérique et dispose dans ce secteur de 15 ans d'expérience. Spécialiste de la transformation numérique, de l'innovation et des nouveaux business models des entreprises, j'ai développé des compétences dans les domaines du marketing éditorial, de la stratégie éditoriale, de la production de contenus premium et la gestion de sites d'information et d'équipe dans l'univers des médias en ligne et du marketing des solutions innovantes.