Close

Privacy Shield invalidé par la justice européenne : quel impact sur les transferts de données vers les USA ?

Le jugement de la cour européenne va bouleverser les échanges de données entre les deux pays.

Les entreprises du numérique vont devoir revoir leur politique de transfert des données personnelles vers les États-Unis. © Anthony Brown – stock.adobe.com

La Cour de justice de l’Union Européenne (CJUE) a invalidé le Privacy Shield (ou bouclier de protection des données personnelles), un accord qui régit les transferts des données entre l’UE et les États-Unis depuis 2016. Le Privacy Shield était contesté par Maximillian Schrems, un militant autrichien, qui accusait Facebook de ne pas respecter la protection des données personnelles des Européens, après les révélations d’Edward Snowden en 2013 sur la surveillance massive réalisée par les USA.

Les outils de surveillance américains incompatibles avec le RGPD

Selon le jugement rendu par les juges européens, les transferts des données personnelles entre les deux pays comportent un risque de surveillance de la part des États-Unis et de possibles ingérences dans les droits fondamentaux des individus. Ce risque a été jugé trop important par la cour européenne, qui a choisi de sévir.

Pour pouvoir exporter des données personnelles en dehors de l’UE, les entreprises devront s’assurer que le pays de destination respecte la réglementation européenne en vigueur, ce qui n’est aujourd’hui pas le cas des États-Unis. La décision de la CJUE est claire sur ce point : les outils de surveillance déployés outre-Atlantique, notamment sur les communications électroniques, ne sont pas compatibles avec la protection des données personnelles, tel que le garantit le RGPD appliqué en Europe.

Plus de 5 300 entreprises concernées, des contrats à renégocier

Alors que les données personnelles des Européens ne pourront plus être envoyées ni traitées par des serveurs situés aux États-Unis, cette décision va avoir un impact fort sur les acteurs du numérique, les géants du secteur comme les petites et les moyennes entreprises. Plus de 5 300 entreprises sont concernées et de nombreux contrats vont devoir être renégociés.

Cette nouvelle va obliger de nombreuses entreprises à revoir leur copie, en rapatriant sur le territoire européen le traitement des données personnelles, afin de respecter le jugement de la CJUE. Pas sûr que toutes soient prêtes à s’engager dans un tel chantier, qui va nécessiter des besoins techniques et financiers considérables, surtout dans un contexte économique difficile post-confinement.

Certains mécanismes, autorisés par le RGPD, pourraient être une solution de secours, à l’image des « clauses contractuelles types » (les Standard Contractual Clauses). Il s’agit d’un modèle de contrat défini par la Commission européenne sur lequel les entreprises peuvent s’appuyer, au cas par cas, pour mettre en place leurs transferts vers n’importe quel pays.

Un sérieux rappel à l’ordre pour les CNIL européennes

Les CNIL européennes, dont certaines ont parfois été laxistes dans l’application du RGPD, seront désormais dans l’obligation de suspendre, voire d’interdire, tout transfert de données, si celui-ci ne respecte pas les conditions juridiques mentionnées par le jugement de la cour. En cas de non-respect, les entreprises risquent une amende de 20 millions d’euros et jusqu’à 4 % de leur chiffre d’affaires mondial.

Les échanges entre les deux pays ne vont cependant pas s’arrêter du jour au lendemain. Cette décision n’impactera pas les transferts de données dit « nécessaires », comme l’envoi d’un e-mail ou la réservation d’un voyage sur le sol américain.

Recevez par email toute l’actualité du digital