#PrivacyShield - Un tribunal européen déclare que l'accord de partage de données UE-États-Unis n'est pas valide

Max Schrems devant le bureau du commissaire irlandais à la protection des données

Pour la deuxième fois en moins de cinq ans, la Cour de justice de l'Union européenne a constaté qu'un accord de partage de données UE / États-Unis ne répondait pas aux normes de protection des données de l'UE. L'accord `` Safe Harbor '' a été annulé en 2015 et a été rapidement remplacé par le `` bouclier de protection '', qui est également en lambeaux. 

Le tribunal a statué que, pour être valide, l'accord UE / États-Unis devrait fournir des protections équivalentes à celles garanties par le règlement général sur la protection des données de l'UE et protéger le droit à la vie privée et à la protection des données qui sont consacrés aux articles 7 et 8 de la charte fondamentale de l'UE. Droits.

#ECJ: la décision sur l'adéquation de la protection fournie par le bouclier de protection des données UE-États-Unis est invalidée, mais EU_Commission La décision sur les clauses contractuelles types pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers est valide # Facebook #Schrems pic.twitter.com/BgxGAvuq3T

- Cour de justice de l'UE (@EUCourtPress) 16 Juillet, 2020

Sur une note plus positive, la Cour a estimé que la décision de la Commission concernant les clauses contractuelles types (SCC) de transférer des données à caractère personnel à des sous-traitants établis dans des pays tiers (en dehors de l'UE) est valable - tant qu'il y a accord préalable sur le fait que le niveau correct de une protection est fournie. 

Publicité

Tout le problème découle du droit interne des États-Unis. Schrems, le plaideur éponyme derrière le jugement connu sous le nom de Schrems II, a déclaré: «La Cour a clarifié pour la deuxième fois maintenant qu'il y a un conflit entre la loi européenne sur la vie privée et la loi américaine sur la surveillance. Étant donné que l'UE ne changera pas ses droits fondamentaux pour plaire à la NSA, le seul moyen de surmonter cet affrontement est que les États-Unis introduisent de solides droits à la vie privée pour tous, y compris les étrangers. La réforme de la surveillance devient ainsi cruciale pour les intérêts commerciaux de la Silicon Valley. "

RUPTURE: la Cour de justice de l'UE vient d'invalider le système de partage de données «Privacy Shield» entre l'UE et les États-Unis, en raison d'une surveillance excessive des États-Unis. Tous les détails disponibles ici: https://t.co/xN4HKhZaBT #PRISME # FISA702 #Intimité #PrivacyShield #CSC #GDPR #CJUE

- Max Schrems ???? (@maxschrems) 16 juillet 2020

L'UE avait déjà été prévenue que la CJUE était susceptible de supprimer le bouclier de protection de la vie privée et la décision a été anticipée par des discussions préliminaires avec les homologues américains de l'UE. Věra Jourová, vice-présidente des valeurs de la Commission a affirmé Valérie Plante.: «Didier et moi avons été en contact avec le secrétaire américain au Commerce Wilbur Ross ces derniers jours.»

Le commissaire à la justice Didier Reynders a ajouté qu'il s'était entretenu avec le procureur général William Barr en décembre et qu'il attendait avec impatience une discussion constructive demain (17 juillet) avec Wilbur Ross sur la voie à suivre.

Le secrétaire d'État américain Wilbur Ross a déclaré: «Nous espérons pouvoir limiter les conséquences négatives à la relation économique transatlantique de 7.1 billions de dollars qui est si vitale pour nos citoyens, entreprises et gouvernements respectifs. Les flux de données sont essentiels non seulement pour les entreprises technologiques, mais aussi pour les entreprises de toutes tailles dans tous les secteurs. Alors que nos économies poursuivent leur récupération post-COVID-19, il est essentiel que les entreprises - y compris les 5,300 XNUMX participants actuels au bouclier de protection des données - puissent transférer des données sans interruption, conformément aux solides protections offertes par le bouclier de protection des données. " 

Dans le déclaration, le ministère du Commerce affirme qu'il continuera d'administrer le programme du bouclier de protection des données, y compris le traitement des demandes d'autocertification et de recertification aux cadres du bouclier de protection des données et le maintien de la liste du bouclier de protection des données. Cependant, Reynders a déclaré: «En attendant, les flux de données transatlantiques entre les entreprises peuvent continuer à utiliser d'autres mécanismes pour les transferts internationaux de données personnelles disponibles dans le cadre du RGPD.»

Bridget Treacy, partenaire de confidentialité des données chez Hunton Andrews Kurth LLP basé à Londres, commentant le jugement a déclaré: «Les SCC, couramment utilisés pour les transferts dans le monde entier, seront soumis à un examen beaucoup plus minutieux de la part des exportateurs de données et des régulateurs de l'UE. Les transferts de données à caractère personnel de l'UE vers les États-Unis exigeront une attention particulière étant donné les commentaires de la Cour sur la surveillance américaine. Mais tous les transferts de données personnelles depuis l'UE, que ce soit vers les États-Unis ou ailleurs (y compris le Royaume-Uni après le 1er janvier 2021), nécessiteront désormais un examen beaucoup plus approfondi.

David Dumont, partenaire de la confidentialité des données chez Hunton Andrews Kurth LLP basé à Bruxelles, a déclaré: «Les entreprises qui dépendent des SCC seront tenues d'évaluer chaque destinataire de transfert de données pour déterminer si le destinataire offre un niveau de protection adéquat. Cela impliquera d'évaluer le type de données personnelles transférées, la manière dont elles seront traitées, si elles peuvent être soumises à un accès par les agences gouvernementales à des fins de surveillance et, le cas échéant, quelles garanties sont disponibles. Si un destinataire n'est pas en mesure de fournir un niveau de protection adéquat, les entreprises de l'UE sont tenues de suspendre ces transferts de données, faute de quoi un régulateur peut le faire. Des conseils urgents seront nécessaires de la part des régulateurs de la protection des données quant au niveau de contrôle pratique qu'ils attendent des entreprises qui dépendent des CSC. »

le Brexit

Lorsque le Royaume-Uni quittera l'UE à la fin de l'année, il devra demander un accord sur l'adéquation des données. La surveillance de masse du Royaume-Uni, gérée par leur agence de renseignement (GCHQ) et révélée par Edward Snowden, a montré comment le Royaume-Uni explorait les données de millions de communications privées et partageait ses conclusions avec la National Security Agency des États-Unis, ainsi qu'avec les agences de renseignement d'autres pays. La Cour européenne des droits de l'homme a jugé cette surveillance illégale. Compte tenu du bilan du Royaume-Uni, le Parlement européen est susceptible d'exiger de fortes assurances sur tout accord de protection des données. 

Treacy a déclaré: «La décision sur le bouclier de protection des données aura probablement des implications sur les espoirs du Royaume-Uni d'une décision de la Commission européenne sur l'adéquation de la protection des données post-Brexit. Le Royaume-Uni peut s'attendre à ce que ses lois sur la surveillance soient soumises à un examen similaire à celui des États-Unis, afin d'évaluer si elles respectent les droits à la vie privée des citoyens de l'UE. »

Dumont a déclaré: «La plupart des entreprises de l'UE prévoient de s'appuyer sur les CCN pour transférer des données personnelles au Royaume-Uni une fois la période de transition du Brexit terminée. Cet arrêt indique que le mécanisme des CSC sera soumis à des niveaux de contrôle beaucoup plus élevés et que les autorités européennes de protection des données seront censées être plus proactives dans l'application de ces exigences, suspendant les transferts si nécessaire.

Contexte

Entretien avec Sophie Int'Veld de 2016

Entretien avec Max Schrems en 2018

Partagez cet article: