Offre RGPD – Privacy Shield

Privacy Shield invalidé, quels impacts RGPD ?

Le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) a annulé le Privacy Shield : les transferts de données personnelles entre l’UE et les États-Unis ne sont plus encadrés par cet accord.

Ce mécanisme permettait aux États-Unis de garantir un niveau de protection de la vie privée équivalent au RGPD. Suite à son invalidation par la CJUE, certains transferts hors UE de données personnelles de citoyens européens nécessitent une réadaptation immédiate et complète.

Qui est concerné ? Tout le monde, ou presque. Les entreprises qui transfèrent des données vers les États-Unis bien sûr, mais également vers tous les États extra-européens dont la législation n’est pas compatible avec le RGPD.

Des solutions existent pour permettre aux entreprises de poursuivre leurs activités dans le respect du RGPD et des droits des citoyens européens.

Ce qu’il faut savoir du Privacy Shield

Le Privacy Shield est un accord conclu entre les États-Unis et l’Union européenne. Il prend la forme d’un mécanisme d’auto-certification pour les entreprises établies aux USA, contrôlé par l’administration américaine.

Les entreprises américaines destinataires de données personnelles et adhérentes au Privacy Shield s’engageaient contractuellement à maintenir un niveau de protection équivalent à celui exigé par le RGPD.

Quant aux autorités américaines, elles s’engageaient à restreindre l’accès des services de renseignement aux données personnelles des citoyens européens, et à nommer un médiateur accessible à toute personne souhaitant exercer ses droits.

Le Privacy Shield n’offre plus une protection équivalente au RGPD aux États-Unis

Le 16 juillet 2020, la Cour de Justice a estimé que le Privacy Shield a échoué à assurer une protection des données personnelles des citoyens européens équivalente à celle du RGPD
sur le territoire américain.

Pour les juges de l’Union, cet échec tient à la législation américaine qui autorise l’accès des services de renseignement américains aux données des citoyens européens, sans que cet accès soit limité au strict nécessaire ainsi que le commande le principe de proportionnalité du RGPD.

La Cour constate également que la réglementation américaine ne permet pas aux citoyens européens d’exercer leurs droits devant les juridictions américaines. Quant au mécanisme de médiation, il n’offre pas de garanties d’indépendance et ne permet pas d’adopter des décisions contraignantes à l’égard des services de renseignement.

Ce n’est pas tout : les transferts vers tout pays hors UE sont concernés

Dans sa décision, la CJUE va plus loin encore en appelant les organisations qui transfèrent des données personnelles au-delà de l’UE à s’assurer que l’exigence de protection du RGPD est respectée quel que soit le pays tiers destinataire.

Lorsque la législation du pays destinataire n’est pas adaptée, il convient désormais de mettre en place des mesures de protection effective de nature à assurer l’inaccessibilité des données par l’administration du pays, et à garantir l’accès des citoyens européens à des institutions juridictionnelles.

À défaut, les autorités de contrôle seront contraintes de suspendre ou d’interdire un transfert de données personnelles vers le pays tiers.

Comment se mettre en conformité RGPD après le PRIVACY SHIELD ?

1. IDENTIFIER LES TRANSFERTS HORS UE :

Quels traitements de données personnelles comportent des transferts hors UE ? Quels sous-traitants ou co-traitants RGPD transfèrent hors de l’UE ?

    2. ÉVALUER LES RISQUES POUR LES PERSONNES :

    Identifier les pays dont la législation n’offre pas une protection équivalente au RGPD. Évaluer les risques pour les personnes, à la lumière de ces législations.

    3. RENFORCER LA PROTECTION & LA CONFORMITÉ RGPD

    Définir et mettre en place des mesures juridiques, organisationnelles et techniques dont la combinaison permet de protéger les données et de se conformer au RGPD