La CJCE déclare le Privacy Shield invalide - Ce que l'arrêt signifie pour les opérateurs de sites web

Mario Steinberg Dernière mise à jour le 21.10.2020
6 Min.
Protection de la vie privée CJCE
Dernière mise à jour le 21.10.2020

Le 16.07.2020, la Cour européenne de justice (CEJ) a déclaré le bouclier de protection de la vie privée invalide. Cette décision concerne, entre autres, tous les opérateurs de sites web qui utilisent les services de sociétés américaines. Dans cet article, j'explique ce que la décision signifie pour vous en tant qu'exploitant de site web ou agence et ce que vous devez faire maintenant.

Situation juridique initiale

Tout traitement de données nécessite une base juridique

Tout traitement de données à caractère personnel nécessite une base juridique (article 6, paragraphe 1, RGPD). Les bases juridiques les plus importantes en rapport avec les sites web sont les suivantes

  • Le consentement de la personne concernée (par exemple, à l'installation de cookies) ;
  • l'exécution d'une obligation contractuelle (par exemple dans le cas des boutiques en ligne) ;
  • l'intérêt légitime de la personne responsable ou de l'opérateur du site web (par exemple, pour répondre à des demandes de renseignements par courrier électronique).

Le consentement est obtenu sur les sites web de manière classique au moyen d'une case à cocher. Le meilleur exemple est celui des bannières de cookies, au moyen desquelles le visiteur du site web consent à l'installation de certains cookies (par exemple, des cookies de marketing ou de suivi). Si vous voulez en savoir plus, vous trouverez plus d'informations dans mon article"Les bannières de cookies - mais correctement ! Ces 7 choses que vous devez considérer".

Toutefois, les bases juridiques mentionnées ci-dessus ne concernent que le traitement proprement dit des données.

Base juridique supplémentaire requise pour les transferts de données hors d'Europe 

Si le traitement des données ne doit pas avoir lieu dans l'UE, mais dans un pays non européen - c'est-à-dire dans un pays dit tiers - une base juridique supplémentaire est nécessaire.

Ces bases juridiques pour les transferts de données à caractère personnel vers des pays tiers se trouvent aux articles 44 et suivants. RGPD.

Les décisions dites d'adéquation de la Commission européenne (article 45 RGPD) sont particulièrement pertinentes pour les opérateurs de sites web.

Avec une telle décision, la Commission décide qu'un pays tiers assure un niveau de protection des données adéquat et que les données personnelles peuvent être transférées au pays tiers.

Des décisions d'adéquation ont été prises dans le passé avec un grand nombre de pays, comme la Suisse, l'Australie et la Nouvelle-Zélande. 

Le bouclier de la vie privée

Le Privacy Shield était une décision d'adéquation de la Commission européenne pour les transferts de données vers les États-Unis. Elle a été adoptée en juillet 2016, quelques mois seulement après l'annulation par la CJCE de l'accord sur la sphère de sécurité (le prédécesseur du bouclier de protection de la vie privée).  

Dans le cadre du "Privacy Shield", les entreprises américaines pourraient s'engager volontairement à respecter un certain niveau de protection des données lors du traitement de données personnelles provenant de l'UE. Après cette certification, les données personnelles de l'UE pourraient vous être transférées.

L'arrêt de la CJCE sur le bouclier de la vie privée

L'arrêt de la CJCE a été rendu à la suite d'une demande de décision préjudicielle de la Haute Cour irlandaise à la CJCE, qui était basée sur une affaire portée par le militant autrichien de la protection des données Maximilian Schrems contre Facebook Ireland Ltd.

Par son arrêt du 16 juillet 2020, la CJCE a déclaré le bouclier de protection de la vie privée invalide. En conséquence, tous les transferts de données personnelles de l'UE vers les États-Unis basés sur le bouclier de protection de la vie privée comme base juridique sont désormais inadmissibles.

Cela semble dramatique - et ça l'est.

Les conséquences de l'arrêt pour les opérateurs de sites web

Presque tous les sites web sont susceptibles d'être affectés par les conséquences de l'arrêt. En règle générale, presque tous les sites web ont intégré au moins un service d'une société américaine, qui est fourni non seulement par des filiales européennes (telles que Facebook Ireland Ltd. et Google Ireland Ltd.), mais aussi par la société mère américaine respective (par exemple, Facebook Inc. et Google LLC).

Avec beaucoup de ces services, les données personnelles sont transmises aux États-Unis (éventuellement en fonction des réglages par défaut effectués). Voici quelques exemples de ces services :

  • Les services de Google tels que Google Analytics, Google Maps ou Google Fonts (sauf s'ils sont intégrés localement) ;
  • newsletter services (par exemple Mailchimp) ;
  • Médias sociaux Plugins (Facebook, Instagram, YouTube, Twitter, etc.)
  • Services de sauvegarde dans le nuage ;
  • Solutions pour les boutiques en ligne.

Si un opérateur de site web a correctement établi sa déclaration de protection des données, la note suivante doit y être incluse pour chaque service où des données pourraient être transférées aux États-Unis :

"La société américaine XYZ traite également vos données personnelles aux États-Unis et les a soumises au Privacy Shield de l'UE/des États-Unis. Pour plus d'informations sur le bouclier de protection de la vie privée, voir : https://www.privacyshield.gov/EU-US-Framework."

Autres bases juridiques possibles pour les transferts de données

Les transferts de données vers les États-Unis qui ont eu lieu jusqu'à présent sur la base du "Privacy Shield" ne sont autorisés qu'avec effet immédiat ou jusqu'à une nouvelle décision d'adéquation de la Commission, s'ils peuvent être fondés sur une autre base juridique.

A ce titre, les éléments suivants peuvent être pris en compte :

Consentement de la personne concernée

La base juridique pour les opérateurs de sites web est principalement le consentement explicite de la personne concernée (article 49, paragraphe 1, alinéa a RGPD). Toutefois, il est indispensable que la personne concernée ait été informée des risques liés au transfert de données avant de donner son consentement.

Transmission pour l'exécution du contrat

Il est également concevable que le transfert de données à caractère personnel vers les États-Unis soit nécessaire à l'exécution d'un contrat entre la personne concernée (le visiteur du site web) et la partie responsable (l'opérateur du site web).

Toutefois, il ne suffit pas que l'opérateur du site web veuille utiliser les services d'une société américaine (par exemple, une boutique en ligne américainePlugin) pour l'exécution du contrat. Il est plutôt nécessaire que le contrat lui-même ait une référence américaine, c'est-à-dire que les commandes soient passées auprès d'une boutique en ligne américaine, par exemple.

Clauses types de protection des données de la Commission européenne

Il est peu probable que le transfert de données à caractère personnel vers les États-Unis puisse se fonder sur les clauses types de protection des données adoptées par la Commission européenne (article 46, paragraphe 2, point c) RGPD).

Les clauses types de protection des données sont des contrats types qui peuvent être conclus entre un exportateur de données établi dans l'UE et un importateur de données établi dans un pays tiers. Grâce à ceux-ci, l'importateur de données non européen garantit à l'exportateur de données que les données personnelles transférées bénéficieront dans ses locaux d'un niveau de protection comparable à celui de RGPD .

Dans son arrêt sur le bouclier de protection de la vie privée, la CJCE a décidé que le contenu des clauses types de protection des données n'est pas contestable. Toutefois, il doit être possible de faire respecter effectivement les règles dans le pays tiers.

Il semble extrêmement douteux que cela soit réellement possible dans le cas des transferts de données vers les États-Unis. En effet, la CJCE a déclaré le bouclier de protection de la vie privée invalide, entre autres raisons, parce que les citoyens de l'UE n'auraient aucune protection juridique appropriée contre les programmes de surveillance des données des autorités américaines. Et cette situation est susceptible d'être pratiquement identique pour les clauses types de protection des données.

Pour cette raison, la CJCE a également statué dans son arrêt que les autorités de contrôle de la protection des données sont obligées de suspendre ou d'interdire un transfert de données à caractère personnel vers un pays tiers sur la base de clauses types de protection des données si elles estiment que ces clauses ne sont pas ou ne peuvent pas être respectées dans le pays tiers. 

Il faut donc s'attendre à ce que les transferts de données vers les États-Unis, qui seraient basés sur les clauses types de protection des données, soient contestés par les autorités de protection des données et déclarés irrecevables.

Ce que vous devez faire maintenant en tant que propriétaire d'un site web

À partir de maintenant, tous les transferts de données personnelles vers les États-Unis basés sur le Privacy Shield sont illégaux, les opérateurs de sites web doivent mettre en œuvre les mesures suivantes :

#N°1 Sélectionner un serveur européen

Certaines entreprises américaines proposent de fournir leurs services via des serveurs européens. Si tel est le cas, les opérateurs de sites web doivent sélectionner le serveur européen.

#2 Obtenir le consentement des personnes concernées

Si le choix d'un serveur européen n'est pas possible, un consentement explicite de la personne concernée doit être obtenu pour le transfert de ses données personnelles vers les États-Unis. Ce consentement pourrait être donné au moyen d'une case à cocher, comme c'est le cas lorsque des cookies sont placés.

Étant donné que chaque site web qui utilise des cookies devrait avoir une bannière de cookie avec des instructions correspondantes et des cases à cocher pour l'utilisation des différents cookies, cela pourrait être complété par des informations (sur les risques) et des cases à cocher supplémentaires concernant les transferts de données prévus vers les États-Unis. Comme pour chaque case à cocher, il faut bien sûr s'assurer que le visiteur du site web doit cliquer lui-même sur la case (opt-in), car les cases activées par défaut (opt-out) sont inadmissibles selon la jurisprudence de la Cour fédérale de justice.

Certes, le seul "inconvénient" de cette solution de consentement est que le service concerné peut ne pas être actif sur le site web si le consentement n'est pas donné.

Ce que cela signifie est brièvement expliqué ici à l'aide de l'exemple de Google Fonts :

Parfois, les polices de caractères Google ne sont pas intégrées localement sur le site web, mais sont chargées par le navigateur web à partir des serveurs Google lorsque la page est appelée. Si cela se fait sur un serveur américain de Google, les données du navigateur web, c'est-à-dire les données personnelles du visiteur du site web, sont transmises à ce serveur de Google aux États-Unis.

On peut déjà se demander si le rechargement des Google Fonts peut être basé sur un intérêt légitime de l'opérateur du site web (j'ai personnellement de grands doutes à ce sujet), puisque les Google Fonts peuvent aussi être intégrés localement. Mais même si l'on supposait cet intérêt légitime, il faudrait une base juridique supplémentaire pour la transmission des données personnelles du navigateur web aux serveurs américains de Google. Cette base juridique supplémentaire était auparavant le "Privacy Shield". Comme cette mesure est désormais inefficace, le rechargement des polices de Google à partir des serveurs américains de Google nécessiterait désormais le consentement du visiteur du site web. Si ce consentement n'est pas accordé, les Google Fonts ne peuvent pas être rechargés.

Cela signifie que les polices de Google doivent être intégrées localement sur le site web au plus tard à partir de maintenant.

#3 Personnaliser la politique de protection de la vie privée

Il est important d'adapter la politique de protection de la vie privée à la nouvelle situation juridique.

Étant donné que la déclaration de confidentialité doit refléter pleinement et précisément le traitement des données à caractère personnel qui a lieu sur un site web, il ne suffit pas de simplement supprimer les précédentes références au bouclier de confidentialité - du moins si les services concernés continuent d'être utilisés.

En fait, si le transfert de données est désormais basé sur le consentement du visiteur du site web, il faut également le mentionner en conséquence. En outre, en cas de consentement, les risques liés au transfert de données aux États-Unis doivent également être expliqués, à savoir que les données personnelles transférées aux États-Unis seront analysées par les autorités américaines dans le cadre des programmes américains de surveillance des données et que les citoyens de l'UE ne disposeront pas de possibilités de protection juridique appropriées à cet égard.

Outlook

Après que la CJCE a déclaré l'accord de la sphère de sécurité invalide, il n'a fallu que quelques mois à la Commission européenne pour négocier le bouclier de la vie privée avec les États-Unis.

En raison de l'importance de l'échange transatlantique de données, qui ne doit pas être sous-estimée, il ne faudra certainement pas longtemps avant qu'une nouvelle réglementation soit trouvée et que la Commission européenne adopte une nouvelle décision d'adéquation pour le transfert de données personnelles aux États-Unis.

Et si elle répond aux préoccupations de la CJCE et renforce la protection des données des citoyens européens aux États-Unis, c'est aussi une bonne chose pour les opérateurs de sites web.

Mario Steinberg est avocat et spécialiste en droit administratif au sein du cabinet d'avocats LIEB.Rechtsanwälte. Son travail se concentre sur le droit de la protection des données, le droit de la sécurité informatique et le droit des technologies de l'information.

Articles connexes

Commentaires sur cet article

Laisse un commentaire

Ton adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.