Le Comité Européen à la Protection des Données (ou EDPB) a publié un « questions-réponses » relatif à l’invalidation du Privacy Shield par un arrêt de la Cour de Justice de l’Union européenne (C-311/18) rendu la semaine dernière, le 16 juillet 2020. Cet arrêt fait suite à une demande de décision préjudicielle introduite par la Haute Cour irlandaise, dans une affaire opposant Facebook et Maximilien Schrems.

La Cour de Justice de l’Union européenne a jugé que le Privacy Shield n’assurait pas une protection des données personnelles équivalente à celle mise en place au sein de l’Union européenne. Certaines exigences américaines limitent la protection des données personnelles, notamment la loi américaine n’accorde pas aux personnes concernées de droits de recours devant les tribunaux contre les autorités américaines.

Cette décision est d’application immédiate.

Pour les responsables de traitement et les sous-traitants qui transfèrent des données personnelles depuis l’Union européenne vers des organismes situés aux Etats-Unis, il convient de

  •  Identifier les traitements de données concernés par de tels transferts de données,
  •  Vérifier si ces transferts sont réalisés et conformes à l’aide du Privacy Shield,
  •  Dans ce cas, revoir et mettre à jour l’analyse d’impact relative à ces traitements de données pour évaluer les mesures complémentaires de sécurité à mettre en place ainsi que les clauses contractuelles standards ou autres garanties appropriées.
Télécharger le PDF
Télécharger le PDF