15 Déc, 2020
Transferts de données vers les Etats-Unis : les conséquences de l’Arrêt Schrems II de la CJUE
Rappel historique
L’accord Safe Harbor adopté en 2015 avait pour but d’assurer la protection des données lors de leurs transferts depuis l’Union Européenne jusqu’aux Etats-Unis. Aussitôt adopté, il a été invalidé la même année à la suite d’une saisie de la Cour de Justice de l’Union Européenne (CJUE) par Max Schrems. L’invalidation de cet accord a conduit la Commission Européenne à adopter un autre accord : le « Privacy Shield ». De nouveau, la CJUE l’a invalidé. Cependant, elle juge que les clauses contractuelles types demeurent valides.
Que dit l’arrêt Schrems II
La CJUE juge que les limites apportées à la protection des données personnelles qui découlent de la réglementation américaine relative à l’accès à ces données par les autorités américaines, notamment des autorités de renseignement, ne garantissent pas un niveau de protection adéquat équivalent au droit de l’Union Européenne.
Les conséquences de cet arrêt
L’encadrement de transfert de données vers les Etats-Unis est basé sur les clauses contractuelles types. Ainsi, il semblerait que toutes entreprises européennes qui enverraient ces données vers une entreprise basée aux Etats-Unis ou à une entreprise américaine doivent inclure ces clauses types dans leur contrat.
Cet arrêt crée un flou juridique. Même si la Cour valide ces clauses types, ces dernières sont-elles suffisantes pour garantir un niveau de protection de données personnelles adéquat aux exigences légales européennes ? A côté de ces clauses, les entreprises peuvent rédiger des conventions de transferts de données auxquelles les clauses contractuelles types pourraient être annexées.
Illustration par ijeab freepik
Fondatrice du cabinet de conseil et d'ingénierie LS Consulting, spécialiste en intelligence économique, juridique et numérique.