Cet arrêt règle le litige opposant M. Schrems et le commissaire irlandais à la protection des données à Facebook Ireland concernant le transfert de ses données personnelles par Facebook Ireland à Facebook Inc. aux États-Unis. Il s’ensuit que les autorités compétentes des États membres peuvent interdire ou suspendre les flux de données vers des pays tiers. La sanction (amende) n’a pas encore fixée.
Points essentiels:
- Le RGPD s’applique dans un pays tiers, dès lors que les services de renseignement de l’Etat tiers ont accès aux données, à des fins de sécurité nationale ou de défense. Au sens du RGPD, tous les pays en dehors de l’UE et de l’EEE sont considérés comme des «pays tiers», c’est-à-dire que les données à caractère personnel ne peuvent pas être transférées vers ces pays sans autres formalités. Le Royaume-Uni pourrait également être inclus dans ces pays à compter du 1er janvier 2021.
- L’accord «Bouclier de protection des données UE-États-Unis» (Privacy Shield) a été invalidé avec effet immédiat, la Cour ayant annulé la décision de la Commission européenne qui reconnaissait une protection adéquate au Privacy Shield,.
- Les clauses contractuelles types de la Commission européenne restent valables et seront, le cas échéant complétées par des mesures supplémentaires. Il appartient, dès lors, à l’exportateur de données de vérifier, au cas par cas, si le droit du pays tiers assure une protection appropriée des données à caractère personnel au regard du droit de l’UE.
Les données de cartes de crédits utilisées sur des boutiques en lignes et les données stockées dans un cloud font partie des données à caractère personnel transférées vers des pays tiers.
Que signifient les décisions de la Cour de justice de l'Union européenne pour la Suisse?
La CJUE ne se prononce pas pour la Suisse. Mais, pour les entreprises suisses exportatrices, cela signifie qu’elles doivent identifier et documenter les transferts de données à caractère personnel de Suisse ou d’Europe vers des pays tiers non assortis d’une décision constatant le caractère adéquat de la protection, comme avant l’accord «Safe Harbor». En outre, il faut vérifier si tous les transferts de données respectent un niveau de sécurité équivalent à celui de l’UE, mais également s’il est possible d’accéder aux centres de données, et ce, tout au long de la chaîne d’approvisionnement.
Il faut déterminer si les transferts de données sont fondés uniquement sur le Privacy Shield ou les SCC ou si un autre dispositif juridique s’applique. Une infraction peut conduire les autorités de contrôle à infliger une amende pouvant atteindre 250 000 CHF, adressée au CEO, ainsi qu’une inscription au casier judiciaire qui ne peut être effacée avant 20 ans.
