Pourquoi le Privacy Shield a-t-il été invalidé ?
L’utilisation de Facebook entraîne inévitablement un traitement de ses données personnelles par l’entreprise américaine.
Les données des utilisateurs résidant au sein de l’Union européenne sont alors transférées par Facebook Ireland à Facebook Inc, située sur le territoire des États-Unis.
Si un tel transfert des données en dehors de l’Union est permis, il est toutefois subordonné à des conditions strictes : le transfert vers les Etats-Unis est ainsi autorisé grâce au cadre juridique appelé le Privacy Shield. Ce dernier vient toutefois d’être invalidé par la Cour de Justice de l’Union Européenne (CJUE).
Le transfert des données hors de l’Union européenne est encadré par la loi « informatique et liberté » du 6 janvier 1978, modifiée par la loi du 20 juin 2018 qui transpose en droit français le Règlement Général sur la Protection des Donnée (RGPD) entré en vigueur le 25 mai 2018.
Les conditions, alternatives, pour transférer des données dans un pays tiers sont les suivantes :
- L’Etat de destination peut avoir fait l’objet d’une décision d’adéquation de la Commission européenne selon laquelle il offre des garanties de protection équivalentes à celles prévues par le RGPD[1].
- A défaut, il doit exister des garanties supplémentaires appropriées et suffisantes. Ces dernières doivent être rédigées sous forme de règles internes ou de certification formelle reconnue.
- La personne concernée a consenti au transfert ou le transfert est fondé sur l’exercice d’un droit en justice, la sauvegarde de la vie humaine, etc [2].
Le transfert vers les Etats-Unis est un cas particulier dans la mesure où ce pays ne bénéficie pas d’une décision d’adéquation. Un cadre a donc été envisagé pour permettre le transfert par le biais d’un premier accord appelé le « Safe Harbor », invalidé suite à l’affaire Snowden en 2015 par la CJUE et remplacé par le « Privacy Shield » entré en vigueur en 2016.
La CJUE vient toutefois d’invalider ce dernier en considérant que les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des Etats-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, ne sont pas encadrées de manière à répondre à des exigences substantiellement équivalentes à celles requises en droit de l’Union européenne. La Cour ajoute que pour certains programmes de surveillance, la réglementation américaine ne prévoit d’ailleurs aucune limite.
En revanche, la Cour a validé la décision de la Commission relative aux clauses contractuelles types qui autorise le transfert de données vers des sous-traitants établis hors Union : des contrats spécifiques pourront continuer à être signés par les entreprises pour exporter des données personnelles hors de l’Union européenne dès lors que les lois du pays de destination sont compatibles avec la réglementation européenne ou que des garanties suffisantes sont apportées.
En conséquence, faute de clauses contractuelles types assorties de garanties suffisantes, les données personnelles des européens ne pourront plus être envoyées et traitées dans des serveurs situés aux États Unis.
A défaut, les entreprises américaines se risqueraient à être sanctionnées à hauteur de 20 millions d’euros, ou 4 % de leur chiffre d’affaires mondial, le montant le plus important étant retenu[3].
[1] Article 45 du RGPD. Liste des États concernés sur le site de la CNIL.
[2] Régime d’exceptions prévu à l’article 49 du RGPD.
[3] Article 83 du RGPD.
Par Julie Gautier, élève avocate