UE•USA : La réglementation américaine fédérale relative à l’accès et à l’utilisation par les autorités publiques, des données personnelles transférées depuis l’UE, ne répond pas aux exigences de protection du RGPD/GDPR

CJUE (Grande Chambre), arrêt du 16 juillet 2020 (C‑311/18)

Sur demande de décision préjudicielle introduite par la High Court d’Irlande dans le cadre du litige opposant le Data Protection Commissioner à Facebook Ireland Ltd et à Maximillian Schrems (plainte relative au transfert de ses données à caractère personnel par Facebook Ireland à Facebook Inc. aux États-Unis).

Après le « Safe Harbor »[1], la CJUE invalide le « Privacy Shield ». Un nouveau revers pour la Commission européenne qui estimait que le mécanisme de transfert de données personnelles de l’UE vers des destinataires établis aux États-Unis offrait un niveau de protection adéquat au sens du RGPD/GDPR[2].

• Relève du champ d’application du RGPD/GDPR un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État.

• Est valide la décision CPT (clauses contractuelles types)[3] de la Commission européenne, qui prévoit des mécanismes effectifs permettant, en pratique, d’assurer que le transfert vers un pays tiers de données à caractère personnel sur le fondement des clauses types de protection des données figurant à l’annexe de cette décision soit suspendu ou interdit lorsque le destinataire du transfert ne respecte pas lesdites clauses ou se trouve dans l’incapacité de les respecter.

Est invalide la décision BPD (« Privacy Shield »)[4] de la Commission européenne, en raison de l’absence de limitations pour la mise en œuvre des programmes américains de surveillance aux fins du renseignement extérieur, et de garanties pour les personnes non-américaines potentiellement visées par ces programmes.[5]

Voir également (en anglais) > European Data Protection Board, FAQ on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems, adopted on 23 July 2020

[1] CJUE, arrêt du 6 octobre 2015, Schrems (C‑362/14) :  invalidité de la décision 2000/520/CE de la Commission du 26 juillet 2000, conformément à la directive 95/46, relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » (Safe Harbor) et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique, dans laquelle la Commission avait constaté que ce pays tiers assurait un niveau adéquat de protection. S’en était suivi une évaluation de la réglementation des États-Unis et l’adoption par la Commission de la décision BPD (Privacy Shield).

[2] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

[3] Décision 2010/87/UE du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46, telle que modifiée par la décision d’exécution (UE) 2016/2297 du 16 décembre 2016.

[4] Décision d’exécution (UE) 2016/1250 du 12 juillet 2016, conformément à la directive 95/46 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis.

[5] Collecte en vrac de données sans encadrement suffisamment clair et précis ; absence de surveillance judiciaire de l’accès aux données en transit vers les États-Unis ; absence de droits opposables aux autorités américaines devant les tribunaux ; le mécanisme de médiation visé par la décision BPD ne fournit pas de voie de recours devant un organe qui offre des garanties substantiellement équivalentes au RGPD/GDPR, et ne permet pas de pallier les lacunes constatées par la Commission elle-même en ce qui concerne la protection juridictionnelle des personnes dont les données à caractère personnel sont transférées vers les États-Unis.

 
Abonnez-vous à notre newsletter