Recevez chaque jour toute l'actualité du numérique

x

L'annulation du Privacy Shield doit s'appliquer immédiatement, tranche la Cnil européenne

Aucun délai de grâce ne sera accordé aux entreprises européennes qui transfèrent des données vers les Etats-Unis, rapporte le CEPD. L'organe de protection des données au niveau de l'Union européenne prévient que tous les transferts effectués sur la base du Privacy Shield, annulé par le juge européen, sont désormais illégaux.
Twitter Facebook Linkedin Flipboard Email
×

L'annulation du Privacy Shield doit s'appliquer immédiatement, tranche la Cnil européenne
L'annulation du Privacy Shield doit s'appliquer immédiatement, tranche la Cnil européenne © Thijs ter Haar-Unsplash

Le Comité européen de la protection des données (CEPD) a précisé quelques points sur l'annulation du Privacy Shield décidé par le juge européen, dans une FAQ publié le 24 juillet sur son site.

Aucun délai de grâce accordé
L'organe chargé de la protection des données personnelles au niveau de l'Union européenne précise que les entreprises européennes qui transfèrent des données vers les Etats-Unis doivent immédiatement trouver des alternatives. En effet, l'accord qui autorisait le transfert des données personnelles vers les Etats-Unis est définitivement annulé. Aucun délai de grâce n'est accordé par l'institution. "Les transferts effectués sur la base de ce cadre juridique sont illégaux", tranche le CEPD.

Quelles sont les alternatives au Privacy Shield ? Il existe ce qu'on appelle les clauses contractuelles types, soit des modèles de contrats de transfert de données personnelles préalablement validées par la Commission européenne. En l'absence d'accord tacite avec un pays tiers, comme l'était le Privacy Shield, les entreprises peuvent faire signer ces clauses pour certifier que le niveau de protection est suffisant dans l'Etat destinataire. La signature de ce contrat permet aux sociétés d’obtenir la garantie d’une protection appropriée pour les transferts internationaux de données.

Les entreprises doivent trancher au cas par cas
En théorie, les entreprises pourraient y avoir recours. La Cour de justice de l'Union européenne (CJUE) à a validé l'usage de cet outil. "Elle laisse le soin à chaque entreprise qui opérera des transferts de décider si les données personnelles sont suffisamment protégées dans le pays destinataire", expliquait l'avocate Lorette Dubois, à L'Usine Digitale.

En pratique, les choses sont beaucoup plus compliquées. Dans sa décision, la CJUE justifie l'annulation du Privacy Shield notamment par les programmes de surveillance américains beaucoup trop intrusifs et donc contraires au droit européen. En tant qu'entreprise, comment prouver que les données transférées seront effectivement protégées malgré l'existence de ces programmes ?  "A ce stade, tout transfert vers les Etats-Unis comporte un risque", tranchait la spécialiste des données personnelles.

Une insécurité juridique pour les entreprises européennes
Les entreprises se retrouvent aujourd'hui face à un vrai casse-tête avec une grande part d'insécurité juridique. Une situation qui ne satisfait pas l'Association française des correspondants à la protection des données à caractère personnel qui demandait d'ailleurs des précisions au CEPD. C'est donc chose faite. Mais pas sûr que l'AFCPD soit satisfaite de la réponse du Comité. En effet, l’association écrivait dans un communiqué de presse qu'elle trouvait "disproportionné de faire peser sur les entreprises l’analyse du régime juridique applicable aux services de renseignement du pays importateur. Ce régime juridique est particulièrement complexe et opaque". Or, c'est exactement la position adoptée par la Cnil européenne.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media