Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Après l'invalidation du Privacy Shield, « une insécurité juridique totale » selon Me Ricouart-Maillet

L'après-Schrems 2
Droit 3 min
Après l'invalidation du Privacy Shield, « une insécurité juridique totale » selon Me Ricouart-Maillet
Crédits : maxkabakov/iStock/Thinkstock

Comment gérer l’après-Schrems 2, du nom de la décision de la Cour de justice de l’Union européenne invalidant le Privacy Shield ? Me Martine Ricouart-Maillet, vice-présidente de l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) a bien voulu répondre aux questions de Next INpact.

Comment résumer la décision Schrems 2 à l’attention d’une personne qui n’y comprendrait rien ?

Le règlement européen sur la protection des données encadre ce que l’on appelle les flux transfrontières. C’est-à-dire les flux de données à caractère personnel qui transitent vers des États tiers à l’Union européenne. Plusieurs situations sont alors possibles. Soit le pays a fait l’objet d’une décision d’adéquation, décision par laquelle la Commission européenne reconnaît que cet État a une législation protectrice des données personnelles substantiellement équivalente.

Soit elle n’a pas fait l’objet d’une telle décision, auquel cas il faut recourir à des garanties appropriées fixées par l’article 46 du RGPD. Parmi elles, il y a les clauses contractuelles types que la Commission européenne a elle-même mises en place. C’est une sorte de contrat passé entre l’exportateur et l’importateur de données, censée garantir le respect des droits fondamentaux des personnes et la possibilité d’avoir un recours en justice dans le pays importateur des données.

Aux États-Unis, de nombreux textes tels que le FISA, le Patriot Act, et maintenant le Cloud Act donnent une primauté pour des raisons d’ordre public interne à certains organismes. Ils peuvent demander en justice à ce que les données personnelles détenues par une société américaine partout dans le monde leur soient transférées ou qu’ils puissent y avoir accès. Par conséquent, il a fallu négocier.

Cette négociation a abouti dans un premier temps au Safe Harbor qui aménageait certes des modalités de protection… mais malheureusement le fond n’était pas résolu : on n’a pas pour autant changé la législation américaine qui fait triompher sa sécurité et son ordre publics. Max Schrems, un avocat autrichien, a lancé une procédure contre Facebook Irlande estimant que le réseau social transmettait des données aux États-Unis dans la plus parfaite illégalité dans la mesure où le Safe Harbor n’était pas si protecteur.

La CJUE a invalidé ce texte le 6 octobre 2015. De sorte que l’UE et les États-Unis ont dû se remettre autour d’une table. Et cela a abouti au Privacy Shield, censé aller un peu plus loin dans la protection des individus au regard des données personnelles.

Seulement, on revient toujours sur la même question : est-ce que pour autant un accord tel que celui-là peut aller à l’encontre des dispositions d’ordre public citées tout à l’heure ? Bien sûr que non. Des négociations entre l’Union européenne et les États-Unis ont abouti à des accords qui sur le fond ne pouvaient garantir la protection des citoyens européens.

Schrems y est allé d’un second recours où la Haute Cour irlandaise a posé une question préjudicielle. Avant de juger si Facebook transmettrait dans l’illégalité ou pas, il fallait interroger la Cour de justice. Celle-ci a répondu qu’effectivement, le Privacy Shield, pas plus que le Safe Harbor, n’était censé garantir les droits des individus, eu égard, a dit la cour, à la primauté des exigences relatives à la sécurité nationale, l’intérêt public, le respect de la législation américaine. De sorte qu’il y a ingérence possible dans les droits fondamentaux des personnes dont les données sont transférées dans les pays.

En somme, dans la mesure où la législation américaine n’avait pas été modifiée, vous n’avez donc pas été spécialement surprise de cette invalidation…

8 commentaires
Avatar de flobede Abonné
Avatar de flobedeflobede- 02/09/20 à 14:26:18

Dans le sillage de cette décision d'annuler le Privacy Shield, et-ce qu'une révision de l'accord de transfert de données personnelles UE->Canada n'est pas prévue dans les prochaines semaines ? L'accord Canada-UE étant antérieur au RGPD, n'a t'il pas toutes les chances d'être lui aussi annulé ?

Avatar de Cronycs Abonné
Avatar de CronycsCronycs- 02/09/20 à 14:54:11

Concrètement ça signifie quoi ? Une entreprise qui utilise Office 365 ou G suite pour stocker tous ses documents est dans l'illégalité ?

Édité par Cronycs le 02/09/2020 à 14:55
Avatar de Mr.Nox INpactien
Avatar de Mr.NoxMr.Nox- 02/09/20 à 14:57:39

Par quel bout de ficelle tient actuellement le transfert de données vers les US pour FB par exemple ? Car le privacy shield étant tombé, sans ficelle pas de flux et ça m'étonnerait que cela soit le cas..

Avatar de popsy Abonné
Avatar de popsypopsy- 02/09/20 à 17:35:12
Avatar de MarcRees Équipe
Avatar de MarcReesMarcRees- 02/09/20 à 20:16:23

Cronycs a écrit :

Concrètement ça signifie quoi ? Une entreprise qui utilise Office 365 ou G suite pour stocker tous ses documents est dans l'illégalité ?

S'il y a transfert ->US fondé sur le Privacy Shield, oui.
S'il y a transfert ->US fondé sur les clauses contractuelles, possiblement

Avatar de Mr.Nox INpactien
Avatar de Mr.NoxMr.Nox- 03/09/20 à 06:31:05

popsy

Merci

Avatar de Idiogène INpactien
Avatar de IdiogèneIdiogène- 03/09/20 à 07:33:58

popsy

Insécurité juridique totale donc un petit googolplex quoi. Tout va bien.
On se rassure comment on peut, hein. :transpi:

Avatar de Sorelian Abonné
Avatar de SorelianSorelian- 03/09/20 à 09:10:15

flobede

Pas que je sache de révision de la procédure d'adéquation pour le Canada.

Il n'est plus possible de commenter cette actualité.