De nouvelles règles nécessaires pour transférer les données personnelles vers les Etats-Unis

La Cour de justice européenne a abattu le 16 juillet une grande partie du cadre réglementaire qui régit les échanges de données personnelles entre l’Europe et les Etats-Unis.

Un niveau de protection inférieur aux Etats Unis

La Cour considère que le niveau de protection des données personnelles aux Etats Unis est inférieur à celui assuré en Europe. D’un point de vue légal, les entreprises doivent cesser de transférer des données personnelles vers les Etats Unis si elles n’utilisaient que le cadre légal « Privacy Shield ». Les entreprises concernées par ces transferts – type Facebook – doivent proposer des mesures ad hoc afin de protéger les données personnelles aux Etats-Unis.

Cette pression sur les entreprises devrait s’alléger car l’Europe prépare de nouveaux mécanismes afin de respecter les exigences de la Cour de justice en matière de protection des données personnelles aux Etats-Unis. C’est ce que présente Patrice Navarro, Counsel chez Hogan Lovells, un cabinet réunissant 150 avocats d’affaires à Paris.

A la suite de l’arrêt de la Cour de justice européenne, le 16 juillet, les entreprises qui transfèrent des données personnelles de l’Europe vers les Etats-Unis – à l’instar de Facebook – doivent cesser. «  Dès aujourd’hui, les sites internet américains ne peuvent plus recevoir de données personnelles européennes sans contrevenir à la règlementation, s’ils avaient recours uniquement au Privacy Shield » prévient Patrice Navarro.

Un niveau de protection des données insuffisant

L’avocat considère que la Cour de justice européenne a jugé que les lois américaines qui permettent l’accès et l’utilisation par les autorités américaines des données personnelles importées depuis l’Union Européenne ne permettent pas de garantir un niveau de protection des données suffisant. Par conséquent, la Cour a invalidé la décision d’adéquation « Privacy Shield » adoptée en 2016 par la Commission européenne.

La Cour a également souligné l’obligation incombant à l’exportateur et à l’importateur de données de vérifier le niveau de protection du pays destinataire, mettant ainsi en doute les transferts vers les Etats Unis couverts par des Clauses Contractuelles Types, retient Patrice Navarro.

La Cour de justice de l’Union européenne a rendu le 16 juillet 2020 un arrêt majeur, dit « Schrems II », invalidant le Privacy Shield et « remettant en question la possibilité de s’appuyer sur les clauses contractuelles types pour les transferts de données vers les États-Unis » pointe Patrice Navarro.

Mettre en place des mesures adéquates

Pour pouvoir continuer, « ces sites doivent mettre en place immédiatement d’autres mesures permettant de garantir une protection suffisante aux données et vérifier dans quelle mesure ils sont soumis aux lois de surveillance [NDLR : existantes aux Etats Unis] pointées par la Cour » ajoute-t-il.

Pour l’expert, il s’agit cependant d’une situation temporaire, car les autorités européennes de protection de données et la Commission Européenne travaillent déjà à la mise en place de nouveaux mécanismes et à la mise à jour des mécanismes existants pour permettre des transferts de données vers les Etats Unis qui garantiraient une protection suffisante au regard des critères de la Cour.

L’avocat rappelle le contexte de la décision de la Cour de justice européenne. Les réglementations européenne et française ne permettent le transfert de données hors de l’Union européenne et de l’Espace Economique Européen que si un niveau de protection des données suffisant et approprié est assuré. Ces transferts  doivent donc être encadrés en utilisant les outils juridiques prévus par ces règlementations. Pour pouvoir transférer les données personnelles vers les Etats Unis, les sites internet américains ont majoritairement recours à deux de ces outils : le « Privacy Shield » et « Les Clauses Contractuelles Types » de la Commission Européenne.