Le 16 juillet 2020, la Cour de Justice de l’Union Européenne (« CJUE ») a rendu l’arrêt Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (C-311/18), décision historique plus connue sous le nom de Schrems II dans laquelle les juges ont déclaré la nullité du Privacy Shield au motif que ce texte « n’accorde pas aux Européens des droits de recours devant les tribunaux contre les autorités américaines ». Cette décision est saluée par la Commission Nationale de Protection des Données (« CNPD »).

 

Les considérations de l’arrêt sont pertinentes à plusieurs égards car elles ont une incidence sur les transferts de données des États membres de l’Union européenne vers des pays en dehors de l’Espace économique européen, principalement vers les Etats-Unis mais surtout vers des pays qui ne font pas l’objet de décisions d’adéquation.

 

Désormais, le Privacy Shield ne peut plus servir de base légale au transfert de données personnelles vers les Etats-Unis car il n’apporte pas un niveau de protection équivalent à celui garanti par le règlement général sur la protection des données (« RGPD ») et de la Charte des droits fondamentaux de l’UE.

 

En outre, la CJUE a déclaré que les clauses contractuelles types (« CCT ») pouvaient être maintenues avec toutefois des problématiques vis-à-vis des entreprises américaines en ce sens que les CCT ne garantissent pas non plus un niveau de protection substantiellement équivalent à celle requise par le RGPD.

 

En tout état de cause, après avoir revu la décision 2010/87/CE qui se rapporte aux CCT, la Cour a indiqué que la validité de cette décision repose sur le fait de savoir si des « mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer ». En pratique, il s’agira donc d’une appréciation au cas par cas.

 

Enfin, le 23 juillet dernier, le Comité Européen de la Protection des Données a préparé un document questions-réponses qui vise à répondre à certaines des questions fréquemment posées liées à la décision Schrems II.

Schrems II : What impact for data transfers to the United States ?