Contexte

La réglementation européenne offre plusieurs outils pout protéger les données personnelles lorsqu’elles sont transférées ou partagées avec les personnes situées dans des pays n’offrant pas une protection équivalente à celle de l’UE. Pour les transferts répétitifs et concernant un grand nombre de personnes, il s’agit principalement :

– des clauses contractuelles types
– des règles contraignantes d’entreprise (BCR)
– pour les transferts les vers USA, la certification Privacy Shield des destinataires, cette certification étant venue remplacer celle du  Safe Harbor. [1]

Or, depuis l’invalidation du Safe Habor par la CJUE le 6 octobre 2015 [2] deux autres actions sont en cours.

Action contre les clauses contractuelles types

La question de la validité du Safe Harbor avait été examinée dans le cadre d’une action plus globale devant l’autorité Irlandaise de protection des données personnelles (« DPC – Data Protection Commissioner ») visant à contester la légalité du transfert de données vers les USA.
Suite à l’invalidation du Safe Harbor, l’autorité Irlandaise a introduit une demande devant la Cour Suprême Irlandaise aux fins de déterminer la légalité des transferts vers les USA sur la base des clauses contractuelles types.

Voir le communiqué du DPC : https://www.dataprotection.ie/docs/28-9-2016-Explanatory-memo-on-litigation-involving-Facebook-and-Maximilian-Schrems/1598.htm

La Cour Suprême Irlandaise devrait examiner cette question d’ici au printemps 2017.
 

Actions contre le Privacy Shield

La Commission européenne a adopté le 12 juillet 2016 une décision d’adéquation visant à reconnaitre au mécanisme « EU-U.S. Privacy Shield » un niveau de protection « essentiellement équivalent » aux exigences européennes.

Il était possible de demander un recours en annulation dans les deux mois de l’entrée en vigueur de la décision. De tels recours, lorsqu’ils ne sont pas formés par des États membres ou institutions européennes doivent être demandés devant la première instance européenne, le « Tribunal ».

 Des recours ont été formés par les associations de certains pays et notamment en Irlande et en France.

En Irlande

L’association Digital Rights Ireland conteste la validité du Privacy shield devant la juridiction de L’UE, arguant que ce programme n’offre pas de protection adéquate.

L’affaire a été publiée sous le numéro T-670/16 sur le site web de la Cours de Justice Européenne avec pour seule description : « recours en annulation ». L’assignation a été déposée le 16 septembre 2016.

Le porte-parole de la Commission européenne a reconnu avoir connaissance de l’action en annulation, mais se dit convaincu que le Privacy Shield sera à la hauteur des exigences de la cour.
Voir le communiqué de Reuters sur le sujet : http://www.reuters.com/article/us-eu-dataprotection-usa-idUSKCN12Q2JK

En France

La Quadrature du Net, French Data Network et la Fédération FDN ont ensemble  lancé un recours en annulation de l’accord Privacy Shield. L’assignation a été déposée le 25 Octobre 2016
L’affaire a été publiée sous le numéro T-738/16 sur le site web de la Cours de Justice Européenne avec pour seule description : « recours en annulation »

 
 

Conclusions

Les entreprises doivent donc rester vigilantes et à l’écoute des évolutions de cette question cruciale des transferts entre l’UE et le reste du monde en général ou les Etats Unis en particulier. Nous continuerons à vous tenir informés.
  Contact : Stephanie.faber@squirepb.com  


[1] voir notre article:  Attention, la Commission européenne adopte le Privacy Shield (le bouclier de la vie privée)
[2] voir notre article : La CJUE invalide le programme de sphère de sécurité dit Safe Harbor