Denis Demontes

Privacy Shield versus La Cour Européenne de Justice

En Juillet 2020, La Cour de Justice Européenne s’est prononcée sur un accord majeur concernant le transfert de données de citoyens européens vers les États-Unis. Ainsi, la Cour de Justice de l’Union Européenne (CJUE) a invalidé sa décision 2016/1250 sur l’adéquation de la protection fournie par le cadre du Privacy Shield EU-US. Le Privacy Shield est utilisé en particulier par les grandes entreprises américaines du numérique, dont beaucoup ont leurs sièges en Irlande, pour traiter les données personnelles des utilisateurs basés en Europe.

Un peu d'histoire sur le Privacy Shield

Du Safe Harbour au Privacy Shield: L’arrêt Schrems de la CJUE d’octobre 2015 n’a pas seulement déclaré invalide la décision de la Commission européenne concernant le régime de transfert de données du « Safe Harbour » UE–États-Unis, il a également statué sur le nombre d’exigences cruciales constituant les fondations de la protection des données de l’Union européenne. L’accord du Safe Harbour (sphère de sécurité) reposait sur l’affirmation que les transferts de données personnelles d’Europe vers les Etats-Unis étaient possibles car ce pays présentait des garanties suffisantes pour la protection de la vie privée. Les révélations sur les programmes de surveillance de masse de la NSA (National Security Agency) américaine montraient que les données personnelles des Européens n’étaient pas protégées, dès lors qu’elles étaient stockées aux Etats-Unis.

Les principes de privacité derrière le Privacy Shield comprenaient : le principe information sur les types de données personnelles collectées, le principe du choix d’accepter de partager ses données à des tiers, le principe d’intégrité des données, l’obligation d’assurer la sécurité des données, l’obligation de protéger les données lorsque celles-ci sont transférées, le droit d’être informé(e) des transferts, le droit d’accès, de rectification et de suppression des données transférées.

Privacy Shield: Les cadres Privacy Shield EU-US et Suisse-US ont donc été conçus par le Département de Commerce des États-Unis, la Commission Européenne et le gouvernement Suisse, pour fournir aux entreprises des deux côtés de l’Atlantique un mécanisme pour être conforme avec les exigences de protection de l’information. Il s’agit de l’information à caractère personnel, contenue dans les échanges à partir de l’Union Européenne et La Suisse vers les Etats-Unis, en support du commerce transatlantique.

Du pourquoi de la décision de la Cour de Justice

Mais le citoyen autrichien Max Schrems, oui, le même Monsieur Schrems de l’arrêt Schrems de la CJUE de 2015, défenseur de la privacité des données personnelles, a contesté l’accord Privacy Shield en argumentant que les lois américaines sur la sécurité nationale ne protégeaient pas les citoyens de l’Union Européenne contre l’espionnage du gouvernement américain.

La motivation de cette affaire a été en partie provoquée par des fuites de l’ex-analyste de la CIA Edward Snowden, qui ont révélé l’étendue de la surveillance américaine.

Quant à la loi européenne sur la protection des données, elle stipule que les données ne peuvent être transférées hors de l’UE – aux États-Unis ou ailleurs – que si des garanties appropriées sont en place (Art. V du RGPD).

Dans l’arrêt de l’affaire C-311/18 Data Protection Commisionner/Maximilian Schrems et Facebook Ireland, publié dans le communiqué de presse No. 91/20 du 16 juillet 2020, la CJUE indique :

 

Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, et que la Commission a évaluées dans la décision 2016/1250, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.

Et maintenant …

Selon l’Institut Européen University College London, plus de 5,300 entreprises utilisent le bouclier Privacy Shield, 65% d’entre-elles sont des PME.

Les entreprises concernées devront désormais signer des « clauses contractuelles types », des contrats juridiques non négociables établis par l’Europe, qui sont utilisés dans d’autres pays que les États-Unis.

Monsieur Schrems avait également contesté la validité des CCT (Clauses Contractuelles Type), mais la CJUE a choisi de ne pas les abolir. Mais elle a averti que ces contrats devraient être suspendus par les régulateurs (CNIL en France) de la protection des données si les garanties qu’ils contiennent ne sont pas respectées.

Les Clauses Contractuelles Standard ou Type

D’après la CNIL, “Les Clauses Contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission Européenne”.

On distingue les Clauses Contractuelles Types encadrant les transferts

  • Entre deux responsables de traitement;
  • Entre un responsable de traitement et un sous-traitant.

Etapes de la mise en place des Clauses Contractuelles Types

  • Identifiez les parties : Cartographiez les différents transferts de données personnelles effectuées et identifiez les Clauses Contractuelles Type adaptées à votre cas (CCT de responsable de traitement à responsable de traitement ou de responsable de traitement à sous-traitant ?)
  • Complétez les Clauses Contractuelles Types : Complétez les Clauses Contractuelles Types (notamment les Annexes sur la description des transferts)
  • Effectuez les démarches nécessaires auprès de La CNIL : Transmettez les clauses à la CNIL uniquement dans le cas où vous avez modifié le contenu des modèles officiels de l’Union Européenne.
Conclusion

Les clauses contractuelles types (CCT) seront désormais examinées beaucoup plus attentivement.

En Août 2020, le Département du Commerce des Etats-Unis et Commission Européenne ont initié des discussions pour évaluer le potentiel d’un accord Privacy Shield amélioré qui serait conforme à la décision de Juillet 2020.

Vous souhaitez vous faire accompagner dans la mise en conformité réglementaire ? Les équipes iDNA peuvent vous aider.

Articles associés

Comment protéger votre Active Directory ?

18 novembre 2021
Comment protéger votre Active Directory (AD) des nouvelles menaces ?   L’année 2020 a connu une recrudescence importante des attaques informatiques contre les entreprises, les hôpitaux et les collectivités territoriales. Nous nous sommes rendu compte que les attaquants ciblent régulièrement l’annuaire Active Directory (AD) qui est présent dans plus de 95% des entreprises et des organisations […]

Les Devops et l’Agilité : les pires ennemis de la Sécurité…ou pas ! (2/2)

24 juin 2021
Nous l’évoquions dans un précédent article (les devops et l’agilité pires ennemis de la sécurité ou pas 1/2), Devops et agilité ne font pas forcément bon ménage avec la sécurité. Cependant, loin d’être une fatalité, cette opposition permet au métier de la sécurité d’évoluer avec le temps. À l’image de l’essor de l’IT et de […]
Partager cet article
Derniers articles

Bien choisir son accès internet

De nos jours, toutes les entreprises disposent d’un accès internet, mais comment bien le choisir ?   Avant d’aborder quelques principes permettant d’aiguiller le choix, il convient de rappeler les éléments techniques primordiaux dans les accès internet.   Le premier est la latence, que l’on peut résumer au temps mis pour qu’un message aille de […]

Comment protéger votre Active Directory ?

Comment protéger votre Active Directory (AD) des nouvelles menaces ?   L’année 2020 a connu une recrudescence importante des attaques informatiques contre les entreprises, les hôpitaux et les collectivités territoriales. Nous nous sommes rendu compte que les attaquants ciblent régulièrement l’annuaire Active Directory (AD) qui est présent dans plus de 95% des entreprises et des organisations […]

Jeff, RSSI chez iDNA depuis 10 ans !

RSSI hors-pair, Jean-François, ou Jeff pour les intimes, va souffler le 21 novembre prochain ses 10 bougies chez iDNA. Après plusieurs années d’expertise réseaux et sécurité, Jean-François s’est spécialisé dans la cybersécurité. Passionné par l’informatique, les jeux-vidéos et le rugby, découvrez-le en 6 questions !     Jean-François, tu vas souffler tes 10 bougies chez iDNA, […]

Comment agir sur nos Datacenters afin de réduire leur consommation énergétique ?

Réduire la consommation énergétique des centres de données : Les Datacenters ont un grand impact sur l’empreinte carbone et leurs émissions totales de gaz à effet de serre sont en augmentation constante. L’objectif est ici de vous faire découvrir quelles sont les pistes à explorer pour réduire la consommation d’énergie et l’impact environnemental de nos […]