IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Privacy Shield : la Cour de justice de l'UE annule l'accord de transfert des données personnelles entre l'UE et les USA
Une victoire pour les défenseurs des libertés

Le , par Stéphane le calme
80 commentaires

962PARTAGES

13  0 
Maximillian Schrems, ressortissant autrichien résidant en Autriche, est un utilisateur de Facebook depuis 2008. Comme pour les autres utilisateurs résidant dans l’Union, les données à caractère personnel de Schrems sont, en tout ou en partie, transférées par Facebook Ireland vers des serveurs appartenant à Facebook Inc., situés sur le territoire des États-Unis, où elles font l’objet d’un traitement. Schrems a déposé une plainte auprès de l’autorité irlandaise de contrôle, visant, en substance, à faire interdire ces transferts. Il a soutenu que le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre l’accès, par les autorités publiques, aux données transférées vers ce pays. Cette plainte a été rejetée, au motif notamment que la Commission avait constaté que les États-Unis assuraient un niveau adéquat de protection. Par un arrêt rendu le 6 octobre 2015, la Cour de justice de l'UE, saisie d’une question préjudicielle posée par la High Court (Haute Cour, Irlande), a jugé cette décision invalide.

C'est ainsi qu'elle a décidé le 6 octobre 2015 d'annuler l'accord « Safe Harbor » qui organisait une partie du transfert des données entre l’Union européenne et les États-Unis. Cet accord a été remplacé en 2016 par « Privacy Shield ».

Puis vient le règlement général relatif à la protection des données (RGPD) qui dispose que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. Selon ce règlement, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat. En l’absence d’une telle décision d’adéquation, un tel transfert ne peut être réalisé que si l’exportateur des données à caractère personnel, établi dans l’Union, prévoit des garanties appropriées, pouvant notamment résulter de clauses types de protection des données adoptées par la Commission, et si les personnes concernées disposent de droits opposables et de voies de droit effectives. Par ailleurs, le RGPD établit, de manière précise, les conditions dans lesquelles un tel transfert peut avoir lieu en l’absence d’une décision d’adéquation ou de garanties appropriées.

Maximillian Schrems décrie également le nouvel accord « Privacy Shield » et tente en 2018 un recours collectif au nom des consommateurs contre Facebook. Il indiquait alors que Facebook violait les lois sur la vie privée en transmettant certaines données aux services de renseignement américains.

La Cour estime, tout d’abord, que le droit de l’Union, et notamment le RGPD, s’applique à un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, même si, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté de l’État par les autorités du pays tiers concerné. Elle précise que ce type de traitement de données par les autorités d’un pays tiers ne saurait exclure un tel transfert du champ d’application du RGPD.

En ce qui concerne le niveau de protection requis dans le cadre d’un tel transfert, la Cour juge que les exigences prévues à cet effet par les dispositions du RGPD, qui ont trait à des garanties appropriées, des droits opposables et des voies de droit effectives, doivent être interprétées en ce sens que les personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données doivent bénéficier d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par ce règlement, lu à la lumière de la Charte. Dans ce contexte, elle précise que l’évaluation de ce
niveau de protection doit prendre en compte tant les stipulations contractuelles convenues entre l’exportateur des données établi dans l’Union et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données ainsi transférées, les éléments pertinents du système juridique de celui-ci.

La Cour de justice de l'UE a donc décidé d'annuler à son tour l'accord « Privacy Shield ». Ce dispositif est utilisé par la quasi-totalité des grandes entreprises américaines pour traiter les données personnelles (identité, comportement en ligne, géolocalisation…) de leurs utilisateurs européens. Très strictement réglementée en Europe, l’utilisation de ces données est moins encadrée aux États-Unis ; pour permettre aux entreprises américaines de les utiliser, le Privacy Shield prévoyait une dérogation, à condition qu’elles s’engagent à respecter certaines mesures.


Les clauses contractuelles restent valides

La cour a cependant confirmé la validité d’un autre mécanisme de transfert de données vers des sous-traitants établis dans des pays tiers, baptisé « clauses contractuelles types ». Ce mécanisme permet à des entreprises de se conformer à la loi européenne en s’engageant, individuellement, à respecter certaines précautions sur l’usage des données de leurs utilisateurs européens. La CJUE souligne cependant que les autorités de protection de la vie privée doivent suspendre ou interdire les transferts hors de l’UE si la protection des données ne peut être assurée.

La décision de la justice européenne ne concerne pas les transferts de données jugés « nécessaires » – par exemple le contenu d’un e-mail envoyé aux États-Unis. La Cour a par ailleurs, conformément aux conclusions de l’avocat général, validé une autre décision de la Commission européenne, sur la légalité des « clauses contractuelles » en matière de transfert de données.

« Selon la Cour, la validité de cette décision n’est pas remise en cause par le seul fait que les clauses types de protection des données figurant dans celle-ci ne lient pas, en raison de leur caractère contractuel, les autorités du pays tiers vers lequel un transfert des données pourrait être opéré. En revanche, précise-t-elle, cette validité dépend du point de savoir si ladite décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer. La Cour constate que la décision 2010/87 met en place de tels mécanismes. À cet égard, elle souligne, notamment, que cette décision instaure une obligation pour l’exportateur des donnés et le destinataire du transfert de vérifier, au préalable, que ce niveau de protection est
respecté dans le pays tiers concerné et qu’elle oblige ce destinataire à informer l’exportateur des données de son éventuelle incapacité de se conformer aux clauses types de protection, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu avec le premier ».

En clair, la CJUE invalide l’accord global que constituait le Privacy Shield, mais confirme que les entreprises peuvent se conformer à la loi européenne en s’engageant, individuellement, à respecter certaines précautions quant à l’usage des données de leurs utilisateurs européens.


Deux défaites en deux jours pour la Commission européenne

Le jugement de la CJUE constitue un nouveau camouflet pour Bruxelles après l’annulation mercredi par le Tribunal de l’Union européenne de la décision de la Commission européenne réclamant à Apple le versement de 13 milliards d’euros d’arriérés d’impôts à l’Irlande.

Margrethe Vestager, vice-présidente de la Commission européenne chargée de la politique de la concurrence, a concédé jeudi que les deux décisions rendues par la justice européenne constituaient « une défaite” : « La première chose que l'on fait lorsque l'on reçoit un jugement du tribunal est de le lire très, très attentivement. Et nous sommes toujours en train de le faire. Bien sûr, c'est une défaite, car c'est une annulation par le tribunal ».

Le commissaire...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

80 commentaires
Commenter Signaler un problème
smarties
Avatar de smarties
Expert confirmé https://www.developpez.com
Le 01/04/2025 à 8:42
On gagnerait à héberger nos données en Europe :
- plus touché par le cloud act
- arrêter de donner de l'argent à Jeff BESOS sur son AWS ou GCP ou Azure
- il n'y a pas encore eu de coupure de câble sous-marin mais si ça arrive on aura que nos yeux pour pleurer... Exemple dans un hôpital : Bonjour, je viens pour mon opération... bah non ce n'est pas possible car on ne peut pas accéder à votre dossier car elles sont hébergées aux USA, reprenez RDV dans 1 an si vous n'êtes pas mort. Ou alors dans le même contexte devoir refaire tous les examens à nos frais probablement.
- réduire la surface espionnable
10  0 
Anselme45
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 11/07/2023 à 9:31
Et ben voilà... Comme d'habitude... Les européens montrent les muscles pour au final baisser leur froc face aux américains!

Prochaine étape?

Les américains vont exiger le remboursement avec dommages et intérêts de toutes les amendes que l'UE a facturé aux GAFAM américaines ces dernières années

Si certains en doutaient encore, on voit qui sont les maîtres du monde et qui sont les cocus de l'histoire
5  0 
Fagus
Avatar de Fagus
Membre expert https://www.developpez.com
Le 11/07/2023 à 21:41
Si c'est la Commission qui vient de décider ça, c'est politique. Faut dire qu'avec cette guerre en Europe qui se déroule avec le plus grand intérêt des USA, l'Europe est sous leur tutelle militaire, énergétique , donc sous tutelle tout court.

C'est quand même génial, la Commission obtient le transfert de nos données au profit des USA, contre un accord non-contraignant de ne pas fouiller dedans (si c'est ni auditable ni punissable, c'est facultatif) . La seule excuse de nos dirigeants, c'est d'être corrompus pour passer des accords pareils.

Citation Envoyé par Jon Shannow Voir le message
Bof ! De toutes façons, se faire espionner par les USA ou l'UE, ça change quoi ?
certains disent que la guerre économique n'existe pas.

  • Les USA ont recours au renseignement pour fouiller dans toute société étrangère en concurrence avec une société américaine pour les contrats au-dessus d'une certaine somme. La société américaine peut alors récupérer le détails des négociations, les secrets industriels, les contacts, et faire une offre un peu meilleure juste ce qu'il faut.
  • Si ça ne suffit pas, la société étrangère peut être poursuivie dans le droit américain (bien que non américaine) et amenée à payer une amende si un jour elle a dérogé à une loi américaine, surtout dans un pays non-américain (ex les 9 G€ payés par la BNP aux USA pour avoir commercé avec les Iraniens de mémoire).
  • Si ça ne suffit pas, les USA peuvent capturer dans un pays allié les dirigeants de la dite entreprise, les mettre dans une prison au secret, les garder longtemps sans les mettre en inculpation, en échange de la capitulation de la dite société (ex d'un dirigeant d'Alstom -Pierucci - avant son démantèlement au profit de GE avec l'aide active de Macron-l'Américain en passant, ou des dirigeants de Siemens)
5  0 
pierre-y
Avatar de pierre-y
Membre chevronné https://www.developpez.com
Le 12/07/2023 à 13:58
Quel farce et en plus c'est van der Layen qui a signé le papier. Et le pire c'est que ça ne fait même pas une ligne dans les journaux.
4  0 
virginieh
Avatar de virginieh
Membre expérimenté https://www.developpez.com
Le 12/07/2023 à 7:40
Citation Envoyé par Fagus Voir le message
certains disent que la guerre économique n'existe pas. [...]
Comme tu le démontre il n'y a pas de guerre, pour qu'il y en ai une il faudrait une opposition.
C'est juste une domination acceptée par les autres pays (et en premier lieu l'Europe)
3  0 
defZero
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 10/10/2022 à 23:29
Ah, c'est assez simple en fait, technologiquement parlant, nous avons besoin d'eux, alors qu'eux n'ont pas besoin de nous.
Tant que nous ne pourrons pas changer cet état de fait, il sera impossible d'imposer quoi que ce soit au ricain.
Honnêtement avec des "allier" comme ça, on a pas vraiment besoin d'ennemies .
3  1 
marsupial
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 11/07/2023 à 10:11
...notamment en limitant l'accès des services de renseignement américains aux données de l'UE à ce qui est nécessaire et proportionné, et en instituant une Cour chargée du contrôle de la protection des données (Data Protection Review Court - DPRC), à laquelle les citoyens de l'Union auront accès.
Ce qui est nécessaire et proportionné implique-t-il l'accès par le FBI en toute illégalité comme on a pu le voir ces dernières années ? Ensuite la DPRC accessible par les européens d'accord mais dans quelles conditions ? A mon avis, seul un avocat comme Max Schrems pourra avoir des voies de recours et invalider cet accord inique encore une fois et qui nous vassalise.
Personnellement, cela ne change rien vis-à-vis des NSA CIA puisque le cloud act permet de fouiller dans les données quel que soit leur emplacement à partir du moment où on a à faire avec une entreprise américaine.

Un élément essentiel du cadre juridique américain consacrant ces garanties est le décret américain sur le renforcement des garanties applicables aux activités de renseignement d'origine électromagnétique menées par les États-Unis (Enhancing Safeguards for United States Signals Intelligence Activities), qui répond aux préoccupations exprimées par la Cour de justice de l'Union européenne dans sa décision Schrems II de juillet 2020.
A partir du moment où un tribunal secret a tout pouvoir sur les données et a autorité suprême dessus, il s'agit de cosmétique puisque ce tribunal ne respecte même pas sa Constitution.
2  0 
yoyo3d
Avatar de yoyo3d
Membre éprouvé https://www.developpez.com
Le 11/07/2023 à 16:38
Pas vraiment une surprise, ils officialisent simplement une pratique douteuse fonctionnant depuis plusieurs années (décennies?)
2  0 
behel
Avatar de behel
Membre du Club https://www.developpez.com
Le 11/07/2023 à 10:13
Les grands gagnants sont les sociétés américaines qui absorbent déjà nos données et qui vont pouvoir continuer et faire du business dessus.
Ce qui va empêcher société européenne de grandir car les société américaine peuvent se permettre de faire du gratuit pour casser la concurrence où payer des amendes
2  1 
Christophe
Avatar de Christophe
Responsable Systèmes https://www.developpez.com
Le 02/04/2025 à 20:52
il n'y a pas encore eu de coupure de câble sous-marin mais si ça arrive on aura que nos yeux pour pleurer
Avec les services cloud, il est en général possible de choisir une région, et donc héberger les données en Europe.

Mais pour le reste, tu as tout à fait raison.
0  0 
Commenter Signaler un problème