• 25, Bd Romain Rolland, 75014, Paris (sur RDV)
  • Lundi - Vendredi : 9h - 19h
Envelope Linkedin Twitter Youtube Facebook Instagram Icon-flag-uk
Logo du cabinet d'avocat MALEKIAN header
Logo du cabinet d'avocat MALEKIAN version mobile

Invalidation du Privacy Shield par la CJUE : quels alternatifs ?

Demander un devis
prendre un rendez-vous
Cabinet d'avocat MALEKIAN : Conseil, formation, accompagnement des sociétés, des startup en protection des données, en propriété industrielle, en rédaction des actes juridiques, en transformation numérique et en procédure judiciaire ou administrative.

SOMMAIRE

Qu’est-ce que le Privacy Shield ?

Le Privacy Shield est le mécanisme mis en place par la décision de la Commission européenne en date du 12 juillet 2016 selon laquelle les données personnelles des résidents européens (destinées à être transférées aux États-Unis, dans le cadre d’une relation contractuelle commerciale) bénéficieront d’une protection équivalente à celle prévue par le RGPD.

Dans quel contexte le Privacy Shield a été invalidé par la CJUE ?

Dans le cadre d’un litige opposant l’autorité de la protection des données irlandaise à Facebook et à Max Schrems au sujet d’une plainte introduite par celui-ci concernant le transfert de ses données personnelle par Facebook aux États-Unis, la Cour de justice de l’union européenne (CJUE) se prononce sur l’invalidation du Privacy Shield. Max Schrems avait déjà obtenu auprès de la CJUE le 6 Octobre 2015 l’invalidation du précédent mécanisme adopté par la Commission européenne sur le sujet du transfert des données personnelles aux États-Unis dit « Safe Harbor ».

Selon la CJUE, les données transférées aux États-Unis initialement dans le cadre d’une relation commerciale sont susceptibles d’être ensuite traitées par les autorités américaines à des fins de sécurité nationale mais également de maintien de l’ordre public (la section 702 du FISA et l’Executive Order 12333) et de conduite des affaires étrangères. La CJUE confirme dans son arrêt C‑311/18 que le droit américain et notamment les dispositifs permettant l’accès des autorités américaines aux données personnelles entraînent des limitations de la protection des données (voir le considérant 111 de l’arrêt de la Cour). En l’absence d’une protection adéquate la CJUE prononce l’invalidation du Privacy Shield dans son arrêt C‑311/18 – « SCHREMS II ».

Quelle est la conséquence de l’arrêt C 311/18 ?

A l’issue de l’arrêt de la CJUE, les transferts des données personnelles basés sur le Privacy Shield ne sont plus valides et sont considérés comme « illégaux ». L’invalidation est immédiatement applicable et il n’y aucun délai de grâce pendant lequel l’organisme privé peut continuer à transférer des données aux États-Unis sur cette base.

Les organismes qui continuent à transférer illégalement s’exposent à des amendes pouvant atteindre 20 millions d’euros ou 4 % de leur chiffre d’affaires mondial. L’autorité de contrôle compétente a le pouvoir également d’interdire ou de suspendre le transfert en application de l’article 58-2 sous f et J du RGPD.

Quels sont les mécanismes alternatifs permettant le transfert des données personnelles aux États-Unis ?

En l’absence du Privacy Shield, les organismes souhaitant continuer à transférer les données personnelles aux États-Unis doivent mettre en place des dispositifs alternatifs assurant une protection équivalente :

  • Les clauses contractuelles types

La CJUE valide dans son arrêt C‑311/18 la décision 2010/87/CE du 5 février 2010 de la Commission européenne relative aux clauses contractuelles types dit « CCT ». Ces clauses prévoient les mécanismes permettant de suspendre ou d’interdire les transferts des données personnelles en cas de violation de ces clauses ou d’impossibilité de les respecter. Elles ne lient pas les autorités américaines.

En effet, les parties contractantes (l’organisme exportateur et le destinataire des données établi aux États-Unis) ont l’obligation de vérifier, préalablement à tout transfert, en prenant en compte les circonstances du transfert et les mesures supplémentaires qu’ils sont prêts à mettre en place, si un niveau de protection adéquate sera respecté dans le pays tiers concerné. Il s’agit dans la mesure du possible et à titre d’exemple de chiffrer les données, de les rendre indirectement identifiant (pseudonymisation), etc. Ces mesures supplémentaires sont destinées à garantir que la législation américaine n’affecte pas le niveau de protection adéquate exigé pour le transfert des données. Nous attendons l’analyse approfondie de la décision par le CEPD notamment sur les mesures supplémentaires destinées à mettre en place. Par ailleurs, l’importateur des données est tenu d’informer sa partie contractante (l’exportateur des données) de toute incapacité à se conformer aux clauses types de protection des données et, le cas échéant, à toute mesure complémentaire à celles prévues par les clauses. Cette information permet à l’exportateur de suspendre et/ou de résilier le contrat.

A l’issue de l’évaluation des risques et au regard du contexte du transfert et des mesures supplémentaires mises en place assurant une protection adéquate, les deux parties peuvent conclure les CCT. A défaut d’une telle protection, le transfert devra être suspendu voire interdit. Compte tenu des circonstances particulières liées à chaque transfert, une analyse au cas par cas s’impose.

  • Les BCR 

Le recours à des éventuelles règles d’entreprise contraignantes dit « BCR » nécessitera également une évaluation préalable des circonstances du transfert et les risques compromettant une protection adéquate des données personnelles.

  • Les dérogations prévues à l’article 49 du RGPD

A défaut des mécanismes ci-dessus mentionnés, le transfert peut être basé sur l’une des dérogations prévues à l’article 49 du RGPD à savoir le consentement explicite de la personne concernée, la nécessité de l’exécution d’un contrat entre la personne concernée et le responsable de traitement ou un contrat conclu dans l’intérêt de la personne concernée, le motif d’intérêt public, la sauvegarde des intérêts vitaux, etc.

En l’absence des des garanties approprié en application de l’article 46 du RGPD et des mesures supplémentaires assurant une protection adéquate, voire des dérogations au titre de l’article 49, le transfert des données personnelles aux États-Unis restera interdit.

Vous avez besoin de conseil ou d'accompagnement juridique ou judiciaire ?

Parlez-nous de votre situation

Maître Hajar MALEKIAN, avocate à Paris, est à votre écoute. Exposez-nous vos besoins et joignez les documents nécessaires pour appuyer votre demande. Nous examinerons votre dossier avec soin et vous répondrons dans les meilleurs délais, accompagnés d’un devis personnalisé.

Obtenz votre devis gratuit
  • Confidentialité assurée

Vos informations et nos échanges resteront strictement confidentiels, garantissant ainsi le respect total du secret professionnel, qui est le pilier de notre métier d’avocat.

  • Loyauté et fidélité

Nous nous engageons à une loyauté totale envers nos clients, un principe fondamental de la déontologie des avocats auquel nous tenons avec la plus grande conviction.

  • Compétence juridique

Maître MALEKIAN possède une expertise pointue et constamment actualisée. Elle suit des formations continues pour garantir un service juridique de qualité.

  • Respect des principes

Nous attachons une importance capitale au respect des principes essentiels de la profession d’avocat, tels que la confidentialité, la loyauté et l’intégrité, qui guident chacune de nos actions.

Pourquoi choisir le cabinet d'avocat MALEKIAN en droit des étrangers ?

Expertise juridique

Maître MALEKIAN dispose de compétences solides en droit des étrangers pour couvrir tous vos besoins juridiques.

Stratégies personnalisées

Nous proposons des solutions juridiques sur mesure pour des résultats efficaces et adaptés à vos besoins spécifiques.

Disponibilité et réactivité

Le cabinet d'avocat MALEKIAN assure des réponses rapides et une communication fluide à chaque étape de votre dossier.

Transparence financière

Bénéficiez de devis clairs et sans frais cachés, dès le début. Avancez en toute confiance avec cabinet d'avocat MALEKIAN.

Contactez le cabinet d'avocat MALEKIAN à Paris

Prenez rendez-vous en ligne ou contactez-nous directement pour une consultation personnalisée.

Nous contacter

Pour toute autre demande, contactez-nous par e-mail à l'adresse cabinet@malekian-avocat.fr ou remplissez notre formulaire de contact confidentiel.

Formulaire de contact

Demander un devis

Obtenez une estimation détaillé de nos honoraires en remplissant notre formulaire de devis confidentiel. Vous pouvez nous envoyer tout document utile en toute confidentialité.

Formulaire de devis

Prendre RDV

Planifiez votre rendez-vous en ligne facilement et en toute sécurité. Découvrez nos tarifs transparents de consultation sur le site officiel du Conseil National des Barreaux (CNB).

Rendez-vous