La CJUE invalide le privacy shield. Quelles solutions pour les transferts de données EU-US ?


Le 16 juillet 2020, la CJUE a rendu une décision dans une affaire initiée par M. Schrems concernant le cadre des transfert de données personnelles de l'UE vers les USA.

Dans cette décision, la CJUE a annoncé invalider le privacy shield, mécanisme utilisé par beaucoup d'entreprise pour les transferts de données personnelles de l'UE vers les USA.



Quelques rappels historiques


Le privacy shield a été adopté, quelque peu en urgence, à la suite de l'invalidation du Safe Harbor en 2015. Sous le Safe Harbor, les transferts de données personnelles de l'UE vers les Etats-Unis étaient possibles car les Etats-Unis étaient réputées présenter des garanties suffisantes (et adéquates au regard de la législation de l'UE) pour la protection de la vie privée.

Suite à des actions en justice intentées par M. Schrems, à l'origine contre Facebook, la Cour de Justice de l'Union Européenne a invalidé le Safe Harbor.


La plupart des entreprises et en particulier les multinationales ayant des collaborateurs à la fois dans l'UE et aux Etats-unis se sont donc retrouvées, du jour au lendemain, sans cadre juridique encadrant le transfert des données personnelles de l'UE vers les USA. De fait, elles étaient dans l'illégalité à cause de ces transferts, souvent nécessaire dans le cadre de la gestion du personnel.

Les autorités ont travaillé, dans l'urgence, pour la mise en place d'un nouveau cadre : le privacy shield est né.


C'est donc ce privacy shield qui vient d'être invalidé par la Cour de Justice de l'Union Européenne (CJUE).



Quelles solutions restent-ils pour les transferts de données personnelles de l'UE vers les USA


D'autres solutions existent, pour réaliser ces transferts en toute légalité. En voici deux :

  • Binding corporate rules (BCR) ou règles d'entreprise contraignantes : les différentes entités d'une entreprise peuvent signer des BCR qui désignent une politique de protection des données intra-groupe. Dès lors que ces BCR sont approuvées par l'autorité de contrôle adéquate, les entités signataires peuvent se transférer des données personnelles en toute légalité, tant que cela est fait dans le respect des règles édictées dans les BCR. Point notable : ceci est utilisable uniquement au sein d'un même groupe, d'une même entreprise.

  • Les clauses contractuelles types (CCT) : ce mécanisme est utilisable pour les transferts de données entre responsables de traitement, ou d'un responsable de traitement vers un sous-traitant. Si vous utilisez les modèles officiels, en complétant la description des traitements, et que votre entreprise dépend de la CNIL, aucune démarche supplémentaire pour faire valider ces clauses par la CNIL n'est nécessaire. les parties concernées par le transfert signent ces clauses et dès lors que les transferts de données personnelles respectent les clauses du CCT, ce transfert est légal.


L'avantage de ces solutions est qu'elles vous affranchissent de tout changement dans les accords UE-US

+33 1 73 29 32 04

©2020 par Stratechno.  Vos données