La question épineuse du transfert international des données (arrêt Schrems II – CJUE 16 juillet 2020)

Aujourd’hui, la question du transfert international des données et notamment de son régime, est l’une des plus sensibles d’un point de vue juridique.

En témoigne l’arrêt de la Cour de Justice de l’Union Européenne (CJUE) du 16 juillet 2020, lequel invalide d’abord le « Privacy Shield », dénommé également « Bouclier de protection des données », puis confirme la validité des clauses contractuelles types.

En effet, la Commission Européenne a la faculté de prendre une décision d’adéquation dans laquelle elle apprécie, au cas par cas, pour un Etat donné se situant en dehors de l’Union Européenne, si ce dernier accorde des garanties équivalentes, en matière de traitement des données, à celles offertes sur le territoire de l’Union Européenne.

Parmi ces décisions d’adéquation, l’une concerne les États-Unis : le « Safe Harbor ». Dans ce cadre, lorsque les données d’une entité de l’Union Européenne étaient transférées, puis traitées aux États-Unis, elles devaient être conformes aux conditions et garanties accordées au sein de l’Union.

Le « Safe Harbor » avait fait l’objet d’un contentieux, lequel avait donné lieu à un arrêt « Schrems » du 6 octobre 2015, au sein duquel la CJUE invalide le « Safe Harboor », jugeant que les conditions que devaient remplir la décision d’adéquation n’étaient plus remplies, causant ainsi la disparition de ce dernier.

Aux fins de combler ce vide juridique, une nouvelle décision d’adéquation fût adoptée avec l’accord des États membres et prit cette fois-ci le nom de « Privacy Shield ». Ce dernier fît ensuite l’objet d’une question préjudicielle de la part de la Cour suprême Irlandaise, à destination de la CJUE, laquelle a rappelé les exigences de l’article 46 du Règlement Général sur la Protection des données et conclu qu’en l’état, le « Privacy Shield » n’était pas conforme au droit de l’Union Européenne.

Cet arrêt rappelle qu’il est nécessaire que la Commission vérifie que le pays tiers puisse garantir des garanties équivalentes – et non pas identiques – ainsi qu’un système d’application de ces garanties ; l’enjeu étant de définir ces garanties équivalentes.

En outre, la CJUE a jugé les clauses contractuelles types valides sous réserve d’apprécier, in concreto, dans quelle mesure, sur le territoire de cet État tiers, les règles du droit applicables offrent les garanties satisfaisantes du droit européen.

Pour rappel, ces clauses permettent d’encadrer le transfert de données à destination des pays en dehors de l’Union Européenne.

Les opérateurs économiques ont la faculté d’introduire ces clauses dans leurs contrats afin de s’assurer que les conditions de transfert, répondent à des prérequis apportant des garanties équivalentes.

En somme, cet outil est conforme au droit européen ; néanmoins cette décision n’exempte pas de procéder à toute vérification tendant à s’assurer qu’en pratique, la garantie des droits est effectivement équivalente, à celle assurée au sein de l’Union Européenne.

La question épineuse du transfert international des données (arrêt Schrems II – CJUE 16 juillet 2020)

Vous pourrez aussi aimer

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *