Denis Demontes

Privacy Shield versus La Cour Européenne de Justice

En Juillet 2020, La Cour de Justice Européenne s’est prononcée sur un accord majeur concernant le transfert de données de citoyens européens vers les États-Unis. Ainsi, la Cour de Justice de l’Union Européenne (CJUE) a invalidé sa décision 2016/1250 sur l’adéquation de la protection fournie par le cadre du Privacy Shield EU-US. Le Privacy Shield est utilisé en particulier par les grandes entreprises américaines du numérique, dont beaucoup ont leurs sièges en Irlande, pour traiter les données personnelles des utilisateurs basés en Europe.

Un peu d'histoire sur le Privacy Shield

Du Safe Harbour au Privacy Shield: L’arrêt Schrems de la CJUE d’octobre 2015 n’a pas seulement déclaré invalide la décision de la Commission européenne concernant le régime de transfert de données du « Safe Harbour » UE–États-Unis, il a également statué sur le nombre d’exigences cruciales constituant les fondations de la protection des données de l’Union européenne. L’accord du Safe Harbour (sphère de sécurité) reposait sur l’affirmation que les transferts de données personnelles d’Europe vers les Etats-Unis étaient possibles car ce pays présentait des garanties suffisantes pour la protection de la vie privée. Les révélations sur les programmes de surveillance de masse de la NSA (National Security Agency) américaine montraient que les données personnelles des Européens n’étaient pas protégées, dès lors qu’elles étaient stockées aux Etats-Unis.

Les principes de privacité derrière le Privacy Shield comprenaient : le principe information sur les types de données personnelles collectées, le principe du choix d’accepter de partager ses données à des tiers, le principe d’intégrité des données, l’obligation d’assurer la sécurité des données, l’obligation de protéger les données lorsque celles-ci sont transférées, le droit d’être informé(e) des transferts, le droit d’accès, de rectification et de suppression des données transférées.

Privacy Shield: Les cadres Privacy Shield EU-US et Suisse-US ont donc été conçus par le Département de Commerce des États-Unis, la Commission Européenne et le gouvernement Suisse, pour fournir aux entreprises des deux côtés de l’Atlantique un mécanisme pour être conforme avec les exigences de protection de l’information. Il s’agit de l’information à caractère personnel, contenue dans les échanges à partir de l’Union Européenne et La Suisse vers les Etats-Unis, en support du commerce transatlantique.

Du pourquoi de la décision de la Cour de Justice

Mais le citoyen autrichien Max Schrems, oui, le même Monsieur Schrems de l’arrêt Schrems de la CJUE de 2015, défenseur de la privacité des données personnelles, a contesté l’accord Privacy Shield en argumentant que les lois américaines sur la sécurité nationale ne protégeaient pas les citoyens de l’Union Européenne contre l’espionnage du gouvernement américain.

La motivation de cette affaire a été en partie provoquée par des fuites de l’ex-analyste de la CIA Edward Snowden, qui ont révélé l’étendue de la surveillance américaine.

Quant à la loi européenne sur la protection des données, elle stipule que les données ne peuvent être transférées hors de l’UE – aux États-Unis ou ailleurs – que si des garanties appropriées sont en place (Art. V du RGPD).

Dans l’arrêt de l’affaire C-311/18 Data Protection Commisionner/Maximilian Schrems et Facebook Ireland, publié dans le communiqué de presse No. 91/20 du 16 juillet 2020, la CJUE indique :

 

Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, et que la Commission a évaluées dans la décision 2016/1250, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.

Et maintenant …

Selon l’Institut Européen University College London, plus de 5,300 entreprises utilisent le bouclier Privacy Shield, 65% d’entre-elles sont des PME.

Les entreprises concernées devront désormais signer des « clauses contractuelles types », des contrats juridiques non négociables établis par l’Europe, qui sont utilisés dans d’autres pays que les États-Unis.

Monsieur Schrems avait également contesté la validité des CCT (Clauses Contractuelles Type), mais la CJUE a choisi de ne pas les abolir. Mais elle a averti que ces contrats devraient être suspendus par les régulateurs (CNIL en France) de la protection des données si les garanties qu’ils contiennent ne sont pas respectées.

Les Clauses Contractuelles Standard ou Type

D’après la CNIL, « Les Clauses Contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission Européenne ».

On distingue les Clauses Contractuelles Types encadrant les transferts

  • Entre deux responsables de traitement;
  • Entre un responsable de traitement et un sous-traitant.

Etapes de la mise en place des Clauses Contractuelles Types

  • Identifiez les parties : Cartographiez les différents transferts de données personnelles effectuées et identifiez les Clauses Contractuelles Type adaptées à votre cas (CCT de responsable de traitement à responsable de traitement ou de responsable de traitement à sous-traitant ?)
  • Complétez les Clauses Contractuelles Types : Complétez les Clauses Contractuelles Types (notamment les Annexes sur la description des transferts)
  • Effectuez les démarches nécessaires auprès de La CNIL : Transmettez les clauses à la CNIL uniquement dans le cas où vous avez modifié le contenu des modèles officiels de l’Union Européenne.
Conclusion

Les clauses contractuelles types (CCT) seront désormais examinées beaucoup plus attentivement.

En Août 2020, le Département du Commerce des Etats-Unis et Commission Européenne ont initié des discussions pour évaluer le potentiel d’un accord Privacy Shield amélioré qui serait conforme à la décision de Juillet 2020.

Vous souhaitez vous faire accompagner dans la mise en conformité réglementaire ? Les équipes iDNA peuvent vous aider.

Articles associés

Chrome remplace l’icône de verrouillage des adresses URL 

24 mai 2023
Depuis les années 90, nos navigateurs internet ont toujours affiché une icône de verrou devant les sites en protocole HTTPS. Ce dernier est d’ailleurs devenu une norme : 95% des pages web chargées sur Chrome (sur les systèmes d’exploitation Windows) passent par ce canal sécurisé et affichent l’icône de verrouillage : Cette icône est destinée à indiquer […]

Une rançon de 10 millions de dollars pour le Centre Hospitalier Sud Francilien (CHSF).

27 avril 2023
L’attaque « Une rançon fixée à 10 millions d’euros » Le 21 août 2022, aux alentours d’une heure du matin, le Centre Hospitalier Sud Francilien (CHSF) est victime d’un ransomware. L’attaque bloque tous les logiciels métiers de l’hôpital, les systèmes de stockage et le système d’information relatif aux admissions des patients. Les pirates leur réclament 10 millions […]
Partager cet article
Derniers articles

Chrome remplace l’icône de verrouillage des adresses URL 

Depuis les années 90, nos navigateurs internet ont toujours affiché une icône de verrou devant les sites en protocole HTTPS. Ce dernier est d’ailleurs devenu une norme : 95% des pages web chargées sur Chrome (sur les systèmes d’exploitation Windows) passent par ce canal sécurisé et affichent l’icône de verrouillage : Cette icône est destinée à indiquer […]

Une rançon de 10 millions de dollars pour le Centre Hospitalier Sud Francilien (CHSF).

L’attaque « Une rançon fixée à 10 millions d’euros » Le 21 août 2022, aux alentours d’une heure du matin, le Centre Hospitalier Sud Francilien (CHSF) est victime d’un ransomware. L’attaque bloque tous les logiciels métiers de l’hôpital, les systèmes de stockage et le système d’information relatif aux admissions des patients. Les pirates leur réclament 10 millions […]

Chronique d’une attaque annoncée : IOCs vs TTPs

Dans cet article je vous propose d’aborder le sujet de la détection des attaques informatiques et la manière de les contrer. La détection d’une attaque peut se faire en regardant les empreintes laissées par l’attaquant et ses outils, approche Indicateur de Compromission (IOC: Indicator Of Compromise), ou en s’appuyant sur une compréhension du comportement de […]

PCA, PRA, PCI, PRI, PCC : Stop à la confusion

En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables. Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise […]