La CJUE a rendu un arrêt, le 16 juillet 2020, dans lequel elle a invalidé la décision relative à l’adéquation de la protection assurée par le bouclier de protection des données EU-Etats-Unis.
La Haute Cour irlandaise, saisie par un particulier qui souhaitait interdire à Facebook Ireland de transférer des données à caractère personnel vers les Etats-Unis, a décidé de surseoir à statuer et de poser à la Cour de justice de l’Union européenne (CJUE) plusieurs questions préjudicielles, amenant la CJUE à se prononcer, dans un arrêt du 16 juillet 2020, sur la validité des décisions 2010/87 (relative aux clauses contractuelles types) et 2016/1250 (relative à l’adéquation de la protection assurée par le bouclier de protection des données EU-Etats-Unis dit « Privacy shield »).
S’agissant de la décision 2010/87 portant sur les clauses contractuelles types, sa validité n’a pas été remise en cause par la CJUE. En effet, bien que ces clauses ne lient pas les autorités du pays tiers vers lequel le transfert de données pourrait être opéré, la décision 2010/87 comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts soient suspendus ou interdits en cas de violation des clauses ou d’impossibilité de les honorer.
La CJUE a, par ailleurs, affirmé le principe selon lequel, en l’absence de décision d’adéquation, les autorités de contrôles sont obligées de suspendre ou d’interdire un transfert de données à caractère personnel vers un pays tiers lorsqu’elles estiment, au regard des circonstances propres à ce transfert, que les clauses types de protection des données ne sont pas ou ne peuvent pas être respectées dans ce pays et que la protection des données transférées, requise par le droit de l’Union, ne peut pas être assurée par d’autres moyens, à défaut pour l’exportateur établi dans l’Union d’avoir lui-même suspendu ou mis fin à un tel transfert.
S’agissant de la décision 2016/1250 relative au Privacy Shield, la CJUE a indiqué que les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, des données transférées depuis l’UE vers les Etats-Unis, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.
De plus, s’agissant de l’exigence de protection juridictionnelle, la CJUE a jugé que le mécanisme de médiation lié au Privacy Shield ne fournit pas aux personnes concernées une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union, de nature à assurer tant l’indépendance du médiateur prévu par ce mécanisme que l’existence de normes habilitant ledit médiateur à adopter des décisions contraignantes à l’égard des services de renseignement américains.
Pour ces deux raisons, la CJUE a déclaré la décision 2016/1250 invalide.
La CNIL a annoncé, au lendemain de cette décision, procéder à une analyse précise de cette dernière, en lien avec les autres autorités du CEPD, afin « d’en tirer les conséquences pour les transferts de données de l’Union européenne vers les Etats-Unis ».
Lien vers l’arrêt de la CJUE : Ici
Lien vers la publication de la CNIL : Ici
