Denis Demontes

Privacy Shield versus La Cour Européenne de Justice

En Juillet 2020, La Cour de Justice Européenne s’est prononcée sur un accord majeur concernant le transfert de données de citoyens européens vers les États-Unis. Ainsi, la Cour de Justice de l’Union Européenne (CJUE) a invalidé sa décision 2016/1250 sur l’adéquation de la protection fournie par le cadre du Privacy Shield EU-US. Le Privacy Shield est utilisé en particulier par les grandes entreprises américaines du numérique, dont beaucoup ont leurs sièges en Irlande, pour traiter les données personnelles des utilisateurs basés en Europe.

Un peu d'histoire sur le Privacy Shield

Du Safe Harbour au Privacy Shield: L’arrêt Schrems de la CJUE d’octobre 2015 n’a pas seulement déclaré invalide la décision de la Commission européenne concernant le régime de transfert de données du « Safe Harbour » UE–États-Unis, il a également statué sur le nombre d’exigences cruciales constituant les fondations de la protection des données de l’Union européenne. L’accord du Safe Harbour (sphère de sécurité) reposait sur l’affirmation que les transferts de données personnelles d’Europe vers les Etats-Unis étaient possibles car ce pays présentait des garanties suffisantes pour la protection de la vie privée. Les révélations sur les programmes de surveillance de masse de la NSA (National Security Agency) américaine montraient que les données personnelles des Européens n’étaient pas protégées, dès lors qu’elles étaient stockées aux Etats-Unis.

Les principes de privacité derrière le Privacy Shield comprenaient : le principe information sur les types de données personnelles collectées, le principe du choix d’accepter de partager ses données à des tiers, le principe d’intégrité des données, l’obligation d’assurer la sécurité des données, l’obligation de protéger les données lorsque celles-ci sont transférées, le droit d’être informé(e) des transferts, le droit d’accès, de rectification et de suppression des données transférées.

Privacy Shield: Les cadres Privacy Shield EU-US et Suisse-US ont donc été conçus par le Département de Commerce des États-Unis, la Commission Européenne et le gouvernement Suisse, pour fournir aux entreprises des deux côtés de l’Atlantique un mécanisme pour être conforme avec les exigences de protection de l’information. Il s’agit de l’information à caractère personnel, contenue dans les échanges à partir de l’Union Européenne et La Suisse vers les Etats-Unis, en support du commerce transatlantique.

Du pourquoi de la décision de la Cour de Justice

Mais le citoyen autrichien Max Schrems, oui, le même Monsieur Schrems de l’arrêt Schrems de la CJUE de 2015, défenseur de la privacité des données personnelles, a contesté l’accord Privacy Shield en argumentant que les lois américaines sur la sécurité nationale ne protégeaient pas les citoyens de l’Union Européenne contre l’espionnage du gouvernement américain.

La motivation de cette affaire a été en partie provoquée par des fuites de l’ex-analyste de la CIA Edward Snowden, qui ont révélé l’étendue de la surveillance américaine.

Quant à la loi européenne sur la protection des données, elle stipule que les données ne peuvent être transférées hors de l’UE – aux États-Unis ou ailleurs – que si des garanties appropriées sont en place (Art. V du RGPD).

Dans l’arrêt de l’affaire C-311/18 Data Protection Commisionner/Maximilian Schrems et Facebook Ireland, publié dans le communiqué de presse No. 91/20 du 16 juillet 2020, la CJUE indique :

 

Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, et que la Commission a évaluées dans la décision 2016/1250, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.

Et maintenant …

Selon l’Institut Européen University College London, plus de 5,300 entreprises utilisent le bouclier Privacy Shield, 65% d’entre-elles sont des PME.

Les entreprises concernées devront désormais signer des « clauses contractuelles types », des contrats juridiques non négociables établis par l’Europe, qui sont utilisés dans d’autres pays que les États-Unis.

Monsieur Schrems avait également contesté la validité des CCT (Clauses Contractuelles Type), mais la CJUE a choisi de ne pas les abolir. Mais elle a averti que ces contrats devraient être suspendus par les régulateurs (CNIL en France) de la protection des données si les garanties qu’ils contiennent ne sont pas respectées.

Les Clauses Contractuelles Standard ou Type

D’après la CNIL, « Les Clauses Contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission Européenne ».

On distingue les Clauses Contractuelles Types encadrant les transferts

  • Entre deux responsables de traitement;
  • Entre un responsable de traitement et un sous-traitant.

Etapes de la mise en place des Clauses Contractuelles Types

  • Identifiez les parties : Cartographiez les différents transferts de données personnelles effectuées et identifiez les Clauses Contractuelles Type adaptées à votre cas (CCT de responsable de traitement à responsable de traitement ou de responsable de traitement à sous-traitant ?)
  • Complétez les Clauses Contractuelles Types : Complétez les Clauses Contractuelles Types (notamment les Annexes sur la description des transferts)
  • Effectuez les démarches nécessaires auprès de La CNIL : Transmettez les clauses à la CNIL uniquement dans le cas où vous avez modifié le contenu des modèles officiels de l’Union Européenne.
Conclusion

Les clauses contractuelles types (CCT) seront désormais examinées beaucoup plus attentivement.

En Août 2020, le Département du Commerce des Etats-Unis et Commission Européenne ont initié des discussions pour évaluer le potentiel d’un accord Privacy Shield amélioré qui serait conforme à la décision de Juillet 2020.

Vous souhaitez vous faire accompagner dans la mise en conformité réglementaire ? Les équipes iDNA peuvent vous aider.

Articles associés

Les IA font évoluer les attaques

7 février 2024
  Jusqu’à présent, les attaques liées à l’ingénierie sociale (Social Engineering) étaient en tête sur la liste des vecteurs de compromission initiale. C’était sans compter sur l’IA (Intelligence Artificielle) qui est en passe de faire exploser les records !   Une accélération des attaques Depuis fin 2022, le nombre de phishing a été multiplié par […]

La méthode FAIR : un guide vers une gestion efficace des risques pour votre entreprise.

13 décembre 2023
  Cette méthode, qui gagne en popularité, offre une perspective unique et pragmatique pour évaluer et gérer les risques de manière plus efficace et précise. Cet article revient sur les principes fondamentaux de la méthode FAIR et son application concrète.     FAIR: Factor Analysis of Information Risk Le standard FAIR est un modèle analytique […]
Partager cet article
Derniers articles

Le groupe iDNA soutient le Challenge de Marine

Il y a quelques mois, nous avions lancé un appel à projets auprès de nos collaborateurs. Notre jury a décidé de soutenir le projet proposé par Marine : le Défi de la Muzelle. Elle répond à nos questions :   Qui es-tu et quel est ton poste au sein du groupe iDNA ? Je m’appelle Marine, je viens […]

Portrait de Francisca, Chargée des Ressources Humaines au sein du groupe iDNA

Depuis juin 2021, Francisca occupe le poste de Chargée des Ressources Humaines au sein du groupe iDNA. Elle a accepté de nous livrer son parcours, son poste et ses spécificités, mais aussi sa vision et ses valeurs.   Peux-tu te présenter rapidement ? Je m’appelle Francisca, j’habite en banlieue parisienne et je suis chargée des Ressources […]

Portrait d’Aurore, Responsable des Ressources Humaines au sein du groupe iDNA

Depuis 8 ans maintenant, Aurore occupe le poste de Responsable des Ressources Humaines au sein du groupe iDNA. C’est avec un grand sourire qu’elle a accepté de répondre à nos questions. Découvrez son parcours, son poste et ses spécificités, mais aussi sa vision et ses valeurs.    Peux-tu te présenter rapidement ? Je m’appelle Aurore, j’ai […]

Les IA font évoluer les attaques

  Jusqu’à présent, les attaques liées à l’ingénierie sociale (Social Engineering) étaient en tête sur la liste des vecteurs de compromission initiale. C’était sans compter sur l’IA (Intelligence Artificielle) qui est en passe de faire exploser les records !   Une accélération des attaques Depuis fin 2022, le nombre de phishing a été multiplié par […]