Privacy Shield invalidé : ce qu’il faut retenir

23 Juil, 2020  - écrit par  dans Sécurité

La Cour de justice de l’Union européenne (CJUE) a invalidé le Privacy Shield le 16 juillet 2020. Une décision qui, si elle réjouit les défenseurs de la protection des données personnelles, impacte directement les transferts de données entre Europe et Etats-Unis.

Le Privacy Shield jugé incompatible avec le RGPD

Le Privacy Shield (Bouclier de Protection des Données) est un des moyens d’encadrement des transferts de données à caractère personnel entre les entreprises américaines et européennes. Alors que le Safe Harbor avait été invalidé sous l’empire de la Directive de 95 (prédécesseur du RGPD -Règlement Général sur la Protection des Données personnelles, entré en vigueur en 2018-), le Privacy Shield avait vu le jour entre 2015 et 2016 afin de rétablir les transferts de données entre Europe et Etats-Unis.

Le Safe Harbor puis le Privacy Shield ont été respectivement attaqués en 2015 et 2018 par Maximilian Schrems, avocat et militant pour la défense des données à caractère personnel (NOYB – European Center for Digital Rights). L’avocat a par deux fois remporté la victoire.

Le 16 juillet 2020, la CJUE a, en effet, rendu un arrêt dont la motivation est essentiellement la même que dans sa décision de 2015 : l’ingérance des autorités étasuniennes et le manque de protection des droits des citoyens européens dans la loi américaine rendent le mécanisme de transfert invalide.

Quel impact sur les entreprises après l’invalidation du Privacy Shield ?

Les quelques 5000 entreprises, majoritairement des PME, qui officiaient sous le Privacy Shield, ne pourront plus l’utiliser. Elles se préparent donc à devoir renégocier, au cas par cas, des dizaines de milliers de contrats devenus caduques et rapatrier en Europe certains traitements de données personnelles concernés par ce jugement. Un chantier technique et financier colossal. En revanche, d’autres bases légales restent valables, notamment les Clauses Contractuelles Types ou encore les BCR (Binding Corporate Rules). 

Cependant, la décision de la CJUE se basant sur le droit étasunien et la capacité de surveillance de ses autorités, il appartient au responsable de traitement exportateur de données de veiller à ne pas enfreindre le RGPD en continuant à envoyer des données vers les Etats-Unis.

Quel impact sur Gandi et son bureau américain ?

L’invalidation du Privacy Shield n’impacte pas l’activité de Gandi, son bureau américain n’ayant pas été certifié Privacy Shield.

Gandi avait opté, avec l’aide de son DPO (Data Protection Officer -délégué à la protection des données-), pour la mise en place de Clauses Contractuelles Types entre son bureau français et américain.

Aujourd’hui, ces transferts ne sont donc pas remis en cause, mais nous resterons très vigilants sur la position que la CNIL et la Commission européenne adopteront afin de nous conformer à leurs recommandations.

Par ailleurs, l’intégralité des données clients, ainsi que les serveurs Hébergement de Gandi sont situés en Europe (France et Luxembourg).