- Administratif
- Toute la matière
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Election
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Institution administrative
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Loi et traité
- > Mariage - Divorce - Couple
- > Procédure civile
- > Profession juridique et judiciaire
- > Responsabilité
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Toute la matière
- > Audiovisuel
- > Commerce électronique
- > Communications électroniques
- > Contrat – Responsabilité
- > Cyberdélinquance
- > Infrastructures et réseaux
- > Intelligence artificielle
- > Droits fondamentaux
- > Propriété industrielle
- > Propriété littéraire et artistique
- > Protection des données
- > Statut professionnel
- Pénal
- Toute la matière
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Droit international et communautaire
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Temps de travail
- Avocat
Article
Nouvel épisode pour les transferts de données vers les États-Unis
Nouvel épisode pour les transferts de données vers les États-Unis
Les transferts de données personnelles vers les États-Unis sont l’objet de nombreuses discussions et casse-têtes autant dans les institutions européennes que dans les entreprises. Les États-Unis ne disposant pas de décision d’adéquation par la Commission européenne, et afin d’éviter la mise en place d’encadrement juridique de ces transferts tels qu’énumérés au chapitre V du RGPD, un entre-deux avait été trouvé : un accord bilatéral, le premier nommé Safe Harbor puis le second, Privacy Shield. Tous deux ont été invalidés par la CJUE et, le 25 mars dernier, Joe Biden et Ursula Van der Leyen annonçaient la reprise des négociations afin de trouver un nouvel accord pour les transferts transatlantiques. Néanmoins, la législation américaine n’ayant pas changé, le scepticisme reste de mise malgré la promulgation d’un nouvel Executive Order par Joe Biden, auquel l’avocat Maximilian Schrems n’a pas manqué de répondre dans un communiqué sur le site de son ONG My Privacy Is None of Your Business (NOYB).
Précédemment dans la saga des transferts transatlantiques
Les transferts de données vers les États-Unis sont un sujet plein de rebondissements depuis l’invalidation du Safe Harbor suivi de celle du Privacy Shield. Les transferts de données personnelles consistent en un traitement de données depuis l’Union européenne vers un État tiers à l’Union européenne qui ne dispose pas de décision d’adéquation (à ce jour quatorze pays disposent d’une telle décision). Pour se prévaloir d’une décision d’adéquation, ledit pays tiers doit prouver d’une protection des données personnelles qui soit équivalente – et non identique – à celle offerte au sein de l’Union européenne, à ceci près que si l’Union européenne n’a pas de compétence en matière de sécurité nationale, les lois de surveillance étrangère des États tiers sont passées au peigne fin et doivent comporter les mêmes garanties que celles prévues par le RGPD (notamment les droits des personnes concernées). Les États-Unis, en raison de leur législation de surveillance étrangère, ne sont pas éligibles à une telle décision. La Commission européenne a alors tenté de contourner ce problème par un accord bilatéral qui ferait office d’autorisation des transferts sans avoir à recourir aux mécanismes juridiques prévus par le RGPD, à savoir les clauses contractuelles types (CCT) et/ou les binding corporate rules (BCR) : ainsi était né le Safe Harbor, finalement invalidé par la Cour de justice de l’Union européenne (CJUE) le 6 octobre 2015, dans l’arrêt Schrems I (aff. C-362/14, Schrems c/ Data Protection Commissioner, AJDA 2015. 2257, chron. E. Broussy, H. Cassagnabère et C. Gänser ; D. 2016. 111 , note B. Haftel ; ibid. 88, point de vue C. Castets-Renard ; ibid. 2025, obs. L. d’Avout et S. Bollée ; AJ pénal 2015. 601, obs. E. Daoud ; Dalloz IP/IT 2016. 26, étude C. Théard-Jallu, J.-M. Job et S. Mintz ; JAC 2015, n° 29, p. 11, obs. E. Scaramozzino ; JT 2015, n° 180, p. 14, obs. E. Scaramozzino ; Rev. crit. DIP 2022. 287, étude U. Kohl ; RTD eur. 2015. 786, obs. M. Benlolo-Carabot ; ibid. 2017. 361, obs. F. Benoît-Rohmer ; ibid. 365, obs. F. Benoît-Rohmer ) après les révélations d’Edward Snowden sur les pratiques de surveillances des autorités américaines.
Pour pallier cette remise à l’ordre par la CJUE, un nouvel accord est conclu entre l’Union européenne et les États-Unis : le Privacy Shield. Le principe est le même que celui du Safe Harbor, c’est-à-dire que les entreprises américaines pouvaient s’autocertifier en conformité avec le RGPD auprès de la chambre de commerce américaine. Le Privacy Shield ajoute deux composantes : la première est un encadrement de la surveillance américaine à travers la directive de politique présidentielle (PPD-28) promulguée sous Barack Obama et la création d’une Ombudsperson qui gérerait le contentieux lié aux traitements de données par les autorités. Ce nouvel accord ne fait pas long feu puisque l’avocat autrichien Maximilian Schrems redépose une plainte auprès de l’autorité irlandaise contre Facebook au sujet des transferts de données, argumentant que les données personnelles des usagers du réseau social ne sont pas protégées au regard des lois de surveillance – lesquelles permettent aux autorités de demander l’accès aux données détenues par les fournisseurs de communication américains. Dans son arrêt du 16 juillet 2020, Schrems II (aff. C-362-14), la Cour de justice invalide le Privacy Shield pour deux motifs. D’une part, parce que les lois de surveillance américaine permettent la surveillance de masse sans garanties suffisantes pour assurer le respect de la vie privée. Se trouvent notamment en jeu les programmes PRISM et...
Sur le même thème
-
Prêt couplé à une assurance non obligatoire : une pratique déloyale ?
-
Filiation à l’égard de la mère génitrice dans un couple de femmes : pour la CEDH, la possibilité d’adoption suffit
-
Procédure applicable à la contestation des assignations à résidence
-
[PODCAST] Le futur commissaire européen pour la démocratie, la justice et l’État de droit
-
Remise d’un réfugié en exécution d’un mandat d’arrêt européen : revirement favorable à l’efficacité de l’instrument
-
Chronique CEDH : les prétentions de caractère civil dans les méandres de la procédure pénale
-
Règlement Bruxelles I bis : les clauses attributives de juridiction et les tiers
-
Le projet de code européen des affaires connaît un nouvel élan
-
Validité de la captation des données EncroChat : recours préalable obligatoire devant les juridictions françaises
-
Vacances de la Toussaint
Sur la boutique Dalloz
Code de la protection des données personnelles 2025, annoté et commenté
11/2024 -
7e édition
Auteur(s) : Collectif