La CJCE déclare le bouclier de protection de la vie privée inefficace - Ce que l'arrêt signifie pour les opérateurs de sites web

6 Min.
Protection de la vie privée CJCE
Dernière mise à jour le 05/08/2020

Le 16.07.2020, la Cour de justice des Communautés européennes (CJCE) a statué Le bouclier de la vie privée déclaré inefficace. Cette décision concerne, entre autres, tous les opérateurs de sites web qui utilisent les services de sociétés américaines. Dans cet article, je vais vous expliquer ce que la décision signifie pour vous en tant qu'opérateur de site web ou agence et ce que vous devez faire maintenant.

Situation juridique de départ

Tout traitement de données nécessite une base juridique

Tout traitement de données à caractère personnel nécessite une base juridique (article 6, paragraphe 1RGPD). Les bases juridiques les plus importantes en matière de sites web sont

  • Le consentement de la personne concernée (par exemple, pour l'installation de cookies) ;
  • l'exécution d'une obligation contractuelle (par exemple, dans le cas des boutiques en ligne) ;
  • l'intérêt légitime de la personne responsable ou de l'opérateur du site web (par exemple pour répondre à des demandes de renseignements par courrier électronique).

Le consentement est traditionnellement obtenu pour les sites web au moyen d'une case à cocher. Le meilleur exemple est celui des bannières de cookies, par lesquelles le visiteur du site web consent à l'installation de certains cookies (par exemple des cookies de marketing ou de suivi). Si vous voulez en savoir plus, vous trouverez plus d'informations dans mon article ".Une bannière de cookie - mais juste ! Vous devez tenir compte des 7 points suivants"...je l'ai trouvé.

Toutefois, les bases juridiques susmentionnées ne concernent que le traitement proprement dit des données.

La CJCE déclare le bouclier de protection de la vie privée inefficace - Ce que l'arrêt signifie pour les opérateurs de sites web

Base juridique supplémentaire requise pour les transferts de données vers des pays non européens 

Si le traitement des données ne doit pas avoir lieu dans l'UE mais dans un pays non européen - c'est-à-dire dans un pays dit tiers - une base juridique supplémentaire est nécessaire.

Ces bases juridiques pour les transferts de données à caractère personnel vers des pays tiers se trouvent aux articles 44 et suivants.RGPD

Les décisions de la Commission européenne en matière d'adéquation des fonds sont particulièrement importantes pour les opérateurs de sites web (article 45RGPD).

Par une telle décision, la Commission décide qu'un pays tiers assure un niveau de protection des données adéquat et que des données à caractère personnel peuvent être transférées vers ce pays tiers.

Des décisions d'adéquation ont été prises dans le passé avec un grand nombre de pays, comme la Suisse, l'Australie et la Nouvelle-Zélande. 

Le bouclier de la vie privée

Le protection de la vie privée était une décision d'adéquation de la Commission européenne pour les transferts de données vers les États-Unis. Elle a été adoptée en juillet 2016 et quelques mois seulement après Abrogation de l'accord sur la sphère de sécurité (le précédent règlement du bouclier de la vie privée) par la CJCE.  

Dans le cadre du "Privacy Shield", les entreprises américaines pourraient s'engager volontairement à respecter un certain niveau de protection des données lors du traitement de données personnelles provenant de l'UE. Après cette certification, ils ont été autorisés à transférer des données personnelles depuis l'UE.

L'arrêt "Bouclier de la vie privée" de la CJCE

L'arrêt de la CJCE a été rendu à la suite d'une demande de décision préjudicielle de la Haute Cour irlandaise à la CJCE, qui était basée sur une affaire portée par le militant autrichien de la protection des données Maximilian Schrems contre Facebook Ireland Ltd.

Dans son arrêt du 16 juillet 2020, la CJCE déclare le bouclier de la vie privée inefficace. Cela signifie qu'avec effet immédiat, tous les transferts de données personnelles de l'UE vers les États-Unis, qui étaient auparavant basés sur le bouclier de la vie privée comme base juridique, sont désormais inadmissibles.

Cela semble dramatique - et ça l'est.

Les conséquences de l'arrêt pour les opérateurs de sites web

Presque tous les sites web sont susceptibles d'être affectés par les conséquences de l'arrêt. En effet, en règle générale, presque tous les sites web ont intégré au moins un service d'une société américaine, qui est fourni non seulement par des filiales européennes (telles que Facebook Ireland Ltd. et Google Ireland Ltd.) mais aussi par la société mère américaine respective (telle que Facebook Inc. et Google LLC).

Pour nombre de ces services, les données personnelles sont transférées aux États-Unis (éventuellement en fonction des paramètres par défaut). Voici quelques exemples de ces services :

  • Les services de Google tels que Google Analytics, Google Maps ou Google Fonts (tant qu'ils ne sont pas intégrés localement) ;
  • newsletter-(par exemple, Mailchimp) ;
  • Les médias sociaux Plugins (Facebook, Instagram, YouTube, Twitter, etc.)
  • Services de sauvegarde dans le nuage ;
  • Solutions pour les boutiques en ligne.

Si un opérateur de site web a correctement établi sa déclaration de protection des données, les informations suivantes doivent y figurer pour chaque service où des données pourraient être transférées aux États-Unis :

"La société américaine XYZ traite également vos données personnelles aux États-Unis et a soumis au Privacy Shield de l'UE/des États-Unis. Pour plus d'informations sur le bouclier de protection de la vie privée, veuillez consulter : https://www.privacyshield.gov/EU-US-Framework."

WooCommerce hébergement x orange

Autres bases juridiques possibles pour les transmissions de données

Les transferts de données vers les États-Unis, qui jusqu'à présent étaient basés sur le "Privacy Shield", ne sont autorisés, avec effet immédiat ou jusqu'à une nouvelle décision d'adéquation de la Commission, que s'ils peuvent être basés sur une autre base juridique.

En tant que tels, ils peuvent être pris en considération :

Consentement de la personne concernée

La base juridique pour les opérateurs de sites web est avant tout le consentement explicite de la personne concernée (article 49, paragraphe 1, point aRGPD)). Toutefois, cela est soumis à la condition que la personne concernée ait été informée des risques liés au transfert de données avant que le consentement ne soit donné.

Transmission pour l'exécution du contrat

Il est également concevable que le transfert de données personnelles aux États-Unis soit nécessaire à l'exécution d'un contrat entre la personne concernée (le visiteur du site web) et la personne responsable (l'opérateur du site web).

Toutefois, il ne suffit pas que l'exploitant du site web veuille utiliser les services d'une société américaine (par exemple, une boutique en lignePluginaméricaine) pour traiter le contrat. Il est plutôt nécessaire que le contrat lui-même ait une référence américaine, par exemple qu'il soit commandé auprès d'une boutique en ligne américaine.

Clauses types de protection des données de la Commission européenne

Il est peu probable que le transfert de données à caractère personnel vers les États-Unis puisse se fonder sur les clauses types de protection des données adoptées par la Commission européenne (article 46, paragraphe 2, point cRGPD)).

Les clauses types de protection des données sont des contrats types qui peuvent être conclus entre un exportateur de données établi dans l'UE et un importateur de données établi dans un pays tiers. Par le biais de ces clauses, l'importateur de données non européen garantit à l'exportateur de données que les données à caractère personnel transférées bénéficieront d'un niveau de protection RGPD comparable à celui dont bénéficie l'exportateur de données.

Dans son arrêt sur le bouclier de protection de la vie privée, la CJCE a jugé que les clauses types de protection des données ne sont pas répréhensibles en soi en termes de contenu. Toutefois, il doit également être possible de les faire appliquer efficacement dans le pays tiers.

EBook : Mesurez la performance de votre site comme un professionnel

Il semble très douteux que cela soit réellement possible pour les transferts de données vers les États-Unis. La Cour de justice européenne a déclaré que le bouclier de protection de la vie privée était inefficace, entre autres raisons, parce que les citoyens de l'UE ne bénéficieraient pas d'une protection juridique appropriée contre les programmes de surveillance des données des autorités américaines. Et cette situation est susceptible d'être pratiquement identique dans le cas des clauses types de protection des données.

Pour cette raison, la CJCE a également statué dans son arrêt que les autorités de contrôle de la protection des données sont obligées de suspendre ou d'interdire un transfert de données à caractère personnel vers un pays tiers sur la base de clauses types de protection des données si elles estiment que ces clauses ne sont pas ou ne peuvent pas être respectées dans le pays tiers. 

Il est donc probable que les transferts de données vers les États-Unis fondés sur les clauses types de protection des données seront contestés et déclarés inadmissibles par les autorités de protection des données.

Ce que vous devez faire maintenant en tant qu'opérateur de site web

Comme toutes les transmissions de données personnelles vers les États-Unis basées sur le bouclier de protection de la vie privée sont désormais illégales, les opérateurs de sites web doivent mettre en œuvre les mesures suivantes :

#N°1 Sélectionner les serveurs européens

Certaines entreprises américaines proposent de fournir leurs services via des serveurs européens. Si tel est le cas, les opérateurs de sites web doivent choisir le serveur européen.

#2 Obtenir le consentement de la personne concernée

Si le choix d'un serveur européen n'est pas possible, le consentement explicite de la personne concernée doit être obtenu pour le transfert de ses données personnelles vers les États-Unis. Ce consentement pourrait être donné au moyen d'une case à cocher, tout comme lors de la création de cookies.

Étant donné que chaque site web qui crée des cookies devrait avoir une bannière de cookie avec des notes et des cases à cocher correspondantes pour la création des cookies individuels, cela pourrait être complété par d'autres notes et cases à cocher (de risque) concernant les transferts de données prévus vers les États-Unis. Comme pour toute case à cocher, il convient bien sûr de noter que le visiteur du site web doit cliquer lui-même sur la case à cocher (opt-in), car la Cour fédérale de justice a jugé que les cases à cocher activées par défaut (opt-out) sont inadmissibles.

Le seul "inconvénient" de cette solution de consentement est, il est vrai, que le service correspondant sur le site web peut ne pas être actif si le consentement n'est pas donné.

Ce que cela signifie est brièvement expliqué ici en utilisant les polices de Google comme exemple :

Parfois, les polices de Google ne sont pas intégrées localement sur le site web, mais sont seulement chargées à partir des serveurs de Google lorsque la page est accessible par le navigateur web. Si cela se produit avec un serveur américain de Google, les données du navigateur web, c'est-à-dire les données personnelles du visiteur du site web, sont transférées à ce serveur de Google aux États-Unis.

FREE DEV Programme RAIDBOXES

On peut déjà se demander si le rechargement des polices Google peut être basé sur un intérêt légitime de l'opérateur du site web (j'ai personnellement de grands doutes), puisque les polices Google peuvent également être intégrées localement. Mais même si cet intérêt légitime devait être présumé, il faudrait une base juridique supplémentaire pour le transfert des données personnelles du navigateur web vers les serveurs américains de Google. Cette base juridique supplémentaire était auparavant le bouclier de la vie privée. Comme cette mesure est désormais inefficace, le rechargement des polices de Google à partir des serveurs américains de Google nécessiterait désormais le consentement du visiteur du site web. Si ce consentement n'était pas accordé, les polices de Google ne seraient pas autorisées à être rechargées.

Cela signifie que les polices de Google doivent être intégrées localement sur le site web au plus tard à partir de maintenant.

#3 Adapter la politique de protection de la vie privée

Il est important d'adapter la politique de protection de la vie privée à la nouvelle situation juridique.

Comme la politique de confidentialité doit refléter pleinement et précisément le traitement des données à caractère personnel qui a lieu sur un site web, il ne suffit pas de supprimer simplement les références précédentes au bouclier de protection de la vie privée - du moins si les services en question continuent à être utilisés.

En fait, si le transfert de données est désormais basé sur le consentement du visiteur du site web, il convient de le mentionner en conséquence. En outre, en cas de consentement, les risques liés au transfert de données aux États-Unis devraient également être expliqués, à savoir que les données personnelles transférées aux États-Unis seront évaluées par les autorités américaines dans le cadre des programmes américains de surveillance des données et que les citoyens de l'UE n'auront donc pas accès à des options de protection juridique appropriées.

Outlook

Après que la CJCE a déclaré l'accord sur la sphère de sécurité invalide, il n'a fallu que quelques mois à la Commission européenne pour négocier le bouclier de la vie privée avec les États-Unis.

Étant donné l'importance de l'échange transatlantique de données, qui ne doit pas être sous-estimée, il ne faudra certainement pas longtemps avant qu'une nouvelle réglementation soit trouvée et que la Commission européenne adopte une nouvelle décision d'adéquation pour le transfert de données personnelles aux États-Unis.

Et si elle répond aux préoccupations de la CJCE et renforce la protection des données des citoyens européens aux États-Unis, c'est aussi une bonne chose pour les opérateurs de sites web.

Mario Steinberg est avocat et spécialiste du droit administratif au sein du cabinet d'avocats commerciaux LIEB.attorneys at law. Son travail porte principalement sur le droit de la protection des données, le droit de la sécurité informatique et le droit des technologies de l'information.

Articles connexes

Commentaires sur cet article

Ecrire un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués par * .