Numérique
Numérique
@members_link_title (446) @admins_link_title (4)
@cartography_link_title @contact_link_title
Imprimer

Invalidation du Privacy Shield par la Cour de justice de l’Union européenne

logo CJUE

Dans une décision prise cet été, la Cour de justice de l’Union européenne (CJUE) a invalidé le "Privacy Shield", et a estimé que le droit américain en matière d’accès aux données par les services de renseignement ne permet pas d’assurer un niveau de protection essentiellement équivalent.

Suite à la décision de la CJUE, les entreprises européennes ne peuvent donc plus se référer au "Privacy Shield" pour transférer des données en dehors de l’UE vers les États-Unis.

Ces organismes doivent utiliser les autres outils mis à leur disposition afin d’encadrer le transfert de leurs données personnelles aux Etats-Unis que sont :

  • les clauses contractuelles type (CCT) : ce sont des modèles de clauses contractuelles adoptées par la Commission européenne qui permettent d'encadrer les transferts de données personnelles hors de l'Union européenne ;
  • les règles internes d’entreprises contraignantes (BCR) : ce sont des règles élaborées par des groupes d’entreprises et soumises à l’approbation d’une autorité de contrôle compétente, leurs permettant d’encadrer juridiquement leurs transferts de données hors de l’Union européenne.

Cependant, ces outils ne sont pas suffisants et les entreprises européennes devront également prévoir des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu dans l’Espace économique européen, et s’assurer que la législation américaine ne compromet pas ces mesures supplémentaires de manière à les priver d'effectivité.

Il est donc indispensable pour l’entreprise européenne d’effectuer une évaluation au cas par cas des circonstances entourant le transfert de données personnelles vers les Etats-Unis.

Compte tenu des circonstances du transfert et malgré d'éventuelles mesures supplémentaires, s’il s’avère que le respect des garanties appropriées ne sera pas assuré, l’entreprise européenne devra mettre fin au transfert de données personnelles.

En dépit de cette conclusion, l’entreprise européenne peut décider de continuer à transférer des données personnelles. Dans ce cas elle devra notifier sa décision à l’autorité de contrôle compétente.

Communiqué de presse de la Cour de justice de l'UE