Schrems II : avis dans le transfert international de données

Jeudi, l'avocat général de la Cour de justice de l'Union européenne (CJUE) a publié ses conclusions sur le transfert de données dans l'affaire dite "Schrems II".

 

Pourquoi les transferts de données internationaux sont-ils importants ?

Le transfert de données entre l'UE et les États-Unis est plus que jamais en jeu. L'AG européenne met en doute la validité du Privacy Shield. Il propose, et l'UE suit généralement ces propositions, de décider que les clauses contractuelles types sont d'application générale, mais que si un importateur de données n'est pas en mesure de fournir les garanties données par la signature des clauses types, l'importateur est contractuellement tenu d'avertir l'exportateur de données afin que le transfert de données soit arrêté et que les personnes concernées soient informées. C'est notamment le cas lorsque les règles de sécurité nationales empêchent un niveau adéquat de protection des données et rendent impossible la fourniture des garanties que l'importateur de données s'est engagé à fournir. C'est le cas des importateurs tels que Microsoft, Amazon, Google, Facebook, ... qui doivent se conformer au Foreign Intelligence Surveillance Act (FISA).

L'AG a laissé entendre que la CJUE n'avait pas à se prononcer sur le bouclier de protection des données dans le cadre de la présente décision, mais a néanmoins donné son avis dans l'éventualité où la Cour devrait également se prononcer sur le bouclier de protection des données. Il a été assez clair sur le fait que le Privacy Shield, tout comme la certification Safe Harbor, est toujours une étiquette de marketing plutôt que d'offrir les protections exigées par les tribunaux de l'UE dans la décision Safe Harbor, et qu'il proposerait d'invalider à nouveau le Privacy Shield.