- Administratif
- Toute la matière
- > Acte
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Institution administrative
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Toute la matière
- > Assurance
- > Banque - Crédit
- > Commerce électronique
- > Compliance
- > Concurrence - Distribution
- > Consommation
- > Contrat - Responsabilité
- > Entreprise en difficulté
- > Fiscalité
- > Fonds de commerce et commerçants
- > Propriété intellectuelle
- > Société et marché financier
- > Sûretés et garantie
- > Transport
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Loi et traité
- > Mariage - Divorce - Couple
- > Procédure civile
- > Profession juridique et judiciaire
- > Responsabilité
- > Société et association
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Toute la matière
- > Bien - Propriété
- > Citoyenneté - Nationalité - Étranger
- > Contrat et obligations - Responsabilité
- > Convention - Traité - Acte
- > Droit économique
- > Droit public
- > Environnement - Agriculture
- > Famille - Personne
- > Pénal
- > Principes - Généralités
- > Procédure
- > Propriété intellectuelle
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Propriété intellectuelle
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Droit international et communautaire
- > Etrangers
- > Grève
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Temps de travail
- Avocat
Article
Nouvel épisode pour les transferts de données vers les États-Unis
Nouvel épisode pour les transferts de données vers les États-Unis
Les transferts de données personnelles vers les États-Unis sont l’objet de nombreuses discussions et casse-têtes autant dans les institutions européennes que dans les entreprises. Les États-Unis ne disposant pas de décision d’adéquation par la Commission européenne, et afin d’éviter la mise en place d’encadrement juridique de ces transferts tels qu’énumérés au chapitre V du RGPD, un entre-deux avait été trouvé : un accord bilatéral, le premier nommé Safe Harbor puis le second, Privacy Shield. Tous deux ont été invalidés par la CJUE et, le 25 mars dernier, Joe Biden et Ursula Van der Leyen annonçaient la reprise des négociations afin de trouver un nouvel accord pour les transferts transatlantiques. Néanmoins, la législation américaine n’ayant pas changé, le scepticisme reste de mise malgré la promulgation d’un nouvel Executive Order par Joe Biden, auquel l’avocat Maximilian Schrems n’a pas manqué de répondre dans un communiqué sur le site de son ONG My Privacy Is None of Your Business (NOYB).
Précédemment dans la saga des transferts transatlantiques
Les transferts de données vers les États-Unis sont un sujet plein de rebondissements depuis l’invalidation du Safe Harbor suivi de celle du Privacy Shield. Les transferts de données personnelles consistent en un traitement de données depuis l’Union européenne vers un État tiers à l’Union européenne qui ne dispose pas de décision d’adéquation (à ce jour quatorze pays disposent d’une telle décision). Pour se prévaloir d’une décision d’adéquation, ledit pays tiers doit prouver d’une protection des données personnelles qui soit équivalente – et non identique – à celle offerte au sein de l’Union européenne, à ceci près que si l’Union européenne n’a pas de compétence en matière de sécurité nationale, les lois de surveillance étrangère des États tiers sont passées au peigne fin et doivent comporter les mêmes garanties que celles prévues par le RGPD (notamment les droits des personnes concernées). Les États-Unis, en raison de leur législation de surveillance étrangère, ne sont pas éligibles à une telle décision. La Commission européenne a alors tenté de contourner ce problème par un accord bilatéral qui ferait office d’autorisation des transferts sans avoir à recourir aux mécanismes juridiques prévus par le RGPD, à savoir les clauses contractuelles types (CCT) et/ou les binding corporate rules (BCR) : ainsi était né le Safe Harbor, finalement invalidé par la Cour de justice de l’Union européenne (CJUE) le 6 octobre 2015, dans l’arrêt Schrems I (aff. C-362/14, Schrems c/ Data Protection Commissioner, AJDA 2015. 2257, chron. E. Broussy, H. Cassagnabère et C. Gänser ; D. 2016. 111 , note B. Haftel ; ibid. 88, point de vue C. Castets-Renard ; ibid. 2025, obs. L. d’Avout et S. Bollée ; AJ pénal 2015. 601, obs. E. Daoud ; Dalloz IP/IT 2016. 26, étude C. Théard-Jallu, J.-M. Job et S. Mintz ; JAC 2015, n° 29, p. 11, obs. E. Scaramozzino ; JT 2015, n° 180, p. 14, obs. E. Scaramozzino ; Rev. crit. DIP 2022. 287, étude U. Kohl ; RTD eur. 2015. 786, obs. M. Benlolo-Carabot ; ibid. 2017. 361, obs. F. Benoît-Rohmer ; ibid. 365, obs. F. Benoît-Rohmer ) après les révélations d’Edward Snowden sur les pratiques de surveillances des autorités américaines.
Pour pallier cette remise à l’ordre par la CJUE, un nouvel accord est conclu entre l’Union européenne et les États-Unis : le Privacy Shield. Le principe est le même que celui du Safe Harbor, c’est-à-dire que les entreprises américaines pouvaient s’autocertifier en conformité avec le RGPD auprès de la chambre de commerce américaine. Le Privacy Shield ajoute deux composantes : la première est un encadrement de la surveillance américaine à travers la directive de politique présidentielle (PPD-28) promulguée sous Barack Obama et la création d’une Ombudsperson qui gérerait le contentieux lié aux traitements de données par les autorités. Ce nouvel accord ne fait pas long feu puisque l’avocat autrichien Maximilian Schrems redépose une plainte auprès de l’autorité irlandaise contre Facebook au sujet des transferts de données, argumentant que les données personnelles des usagers du réseau social ne sont pas protégées au regard des lois de surveillance – lesquelles permettent aux autorités de demander l’accès aux données détenues par les fournisseurs de communication américains. Dans son arrêt du 16 juillet 2020, Schrems II (aff. C-362-14), la Cour de justice invalide le Privacy Shield pour deux motifs. D’une part, parce que les lois de surveillance américaine permettent la surveillance de masse sans garanties suffisantes pour assurer le respect de la vie privée. Se trouvent notamment en jeu les programmes PRISM et...
Sur le même thème
-
Méconnaissance d’une clause d’élection de for et articulation entre le règlement Bruxelles I bis et les règles de compétence issues d’une convention internationale
-
Éclaircissements sur l’interdiction d’un service de mise en relation entre pharmaciens et clients pour le commerce électronique de médicaments non soumis à prescription médicale
-
Irrecevabilité des conclusions pour absence de mentions : une fin de non-recevoir relevant du seul pouvoir de la cour d’appel saisie au fond
-
Ubérisation de la pharmacie : la Cour de justice précise les conditions de licéité des plateformes de vente en ligne de médicaments
-
Principe d’unicité de l’instance et droit international privé
-
L’AI Act dans sa version finale – provisoire –, une hydre à trois têtes
-
Forum delicti et fraude aux gaz d’échappement : des précisions sur le lieu de matérialisation du dommage
-
Une conversion après avoir quitté son pays d’origine ne rend pas la demande d’asile abusive
-
Chronique CEDH : la France trop lente à donner un cadre légal à l’encerclement policier
-
Absence de violation automatique de la Convention européenne des droits de l’homme pour la mise à exécution d’une mesure de renvoi vers la Russie
Sur la boutique Dalloz
Code de la protection des données personnelles 2024, annoté et commenté
11/2023 -
6e édition
Auteur(s) : Collectif