Le 16 juillet 2020, la CJUE invalidait le mécanisme qui autorisait avec une certaine souplesse les transferts de données personnelles entre l’Union européenne et les Etats-Unis pour les entreprises qui se soumettaient au mécanisme du « Privacy Shield ». En cause, l’absence de protection suffisante des données à destination du fait du risque d’ingérence étatique des autorités américaines (FISA, EO 12333).
Le coup de tonnerre ne s’est toutefois pas limité à cette invalidation. La décision a également porté un coup de massue sur les transferts de données personnelles fondés sur les clauses contractuelles types. La Cour a estimé qu’avant tout transfert de données hors Europe fondé sur ces clauses contractuelles types, il était nécessaire de s’assurer du niveau effectif de protection des données dans le pays de destination (les Etats-Unis ou un autre Etat). En ce qui concerne les Etats-Unis, la messe est dite puisque la décision de la CJUE a dit pour droit que les données n’y sont pas suffisamment protégées contre l’ingérence étatique. Et que, en pareil cas, il n’est pas possible de continuer les transferts sans précautions supplémentaires.
Le projet de recommandations sur les modifications à apporter à ces clauses contractuelles types et le projet de nouveau jeu de clauses mis en consultation publique respectivement par la Commission européenne et par l’EDPB suffiront-ils à sortir les acteurs concernés de cet incroyable imbroglio juridique ? En attendant un hypothétique « Privacy Shield II » ?
Lors de notre prochain webinaire LWA + INQUEST reviendront sur les conséquences de cette décision, les projets de l’EDPB et de la Commission et vous donneront des pistes pour continuer à mener vos projets impliquant des transferts de données vers les Etats-Unis et ailleurs.
Une fois inscrit(e), vous recevez un e-mail de confirmation contenant les informations relatives à la procédure d’accès au webinaire.
