La Cour de justice de l’Union européenne (CJUE) a rendu le 16 juillet 2020 un arrêt retentissant dans lequel elle invalide le Privacy Shield au motif qu’il n’offre pas, en réalité, de garanties suffisantes au regard du Règlement général sur la protection des données à caractère personnel, bouleversant ainsi considérablement le transfert des données personnelles de l’Union européenne vers les États-Unis.

Par Me Pierre-Randolph Dufau, Avocat à la cour, fondateur de SELAS PRO avocats

Le Privacy Shield, ou « Bouclier de protection des données », résultait d’une décision d’adéquation prise par la CJUE (Cour de Justice de l’Union Européenne) il y a quatre ans, le 12 juillet 2016, ayant vocation à garantir, sur le territoire des États-Unis, un niveau de protection « essentiellement équivalent » aux exigences européennes, conformément à l’article 46 du RGPD.

Ainsi, lorsque des entreprises étaient certifiées conformes au Privacy Shield, il était possible de transférer légalement les données personnelles protégées par le RGPD vers les États-Unis.

Succédant au Safe Harbor invalidé par la CJUE en 2015 dans un arrêt dit Schrems I, le Privacy Shield a connu le même sort le 16 juillet 2020 dans un arrêt logiquement dénommé Schrems II rendu par la CJUE.

Cette décision a fait grand bruit, mais elle n’est finalement pas si surprenante puisque, dès 2016, l’ancien groupe de travail « Article 29 » réunissant les autorités de contrôle européennes dénonçait déjà le manque de clarté du Privacy Shield et appelait à le rediscuter.

L’arrêt Schrems I reprochait au Safe Harbor de permettre la collecte massive indirecte de données personnelles par les autorités américaines ainsi que le manque de recours par les citoyens.
La CJUE réitère ce dernier point et reproche au Privacy Shield de ne pas octroyer aux citoyens européens un droit de recours adéquat devant ces mêmes autorités américaines, notamment les organismes de surveillance tels que le FBI ou la NSA.

Cette décision remet les autorités américaines et européennes sur la table des négociations où elles devront trouver un nouvel accord satisfaisant les exigences du RGPD.

Le Comité européen de la Protection des Données (CEPD) a rappelé dans sa FAQ publiée le 28 juillet dernier que l’arrêt Schrems II est d’application immédiate et qu’aucune période de grâce n’est accordée.

Cette décision plonge immédiatement nombre d’organismes publics et privés, tant américains qu’européens, dans une réelle incertitude, puisqu’ils perdent le cadre juridique de leurs transferts de données et s’exposent à une non-conformité RGPD.
En outre, la CJUE a rappelé que les autorités de contrôle sont en première ligne de la protection des données personnelles et qu’elles pourront donc interdire ou suspendre immédiatement les transferts de données vers les pays tiers qui ne garantissent pas un niveau de protection adéquat.

Pour rappel, le RGPD prévoit que les transferts de données personnelles vers des pays tiers sont admis dès lors qu’ils reposent sur une décision d’adéquation ou, à défaut, s’ils présentent des garanties appropriées, telles que les clauses contractuelles types adoptées par la Commission européenne.
En attendant l’arrivée d’un nouvel accord, les entreprises pourront renégocier leurs contrats afin d’encadrer leurs transferts de données sur un autre fondement, tel que les clauses contractuelles types dont la validité a été réitérée par l’arrêt Schrems II.

Pour l’initiateur de la procédure, le militant Maximillian Schrems, les entreprises pourront toujours se prévaloir de l’article 49 du RGPD pour procéder aux transferts nécessaires de données vers les États-Unis, comme c’est le cas pour la plupart des autres pays tiers. Il considère d’ailleurs que les États-Unis n’ont fait que revenir à une « situation normale ».