Le RGPD s’applique à toute situation pour laquelle des données personnelles traitées et collectées directement sur le territoire européen ou pour l’offre de service à destination des personnes dans l’Union. De plus, un transfert de données personnelles n’est autorisé que si l’entité peut garantir un niveau de protection équivalent pour les droits et libertés des personnes concernées. Le considérant 14[1] de la décision d’exécution rappelle le mécanisme du bouclier de protection des données UE-Etats -Unis.
Malgré l’examen préalable à cette décision de la Commission Européenne, le Privacy Shield n’offre pas de protection équivalente au RGPD pour les personnes concernées selon la CJUE. En cause, le fait que des autorités publiques puissent avoir un accès spécifique (backdoor) aux données personnelles est contraire aux droits et libertés des individus tels qu’établis par la Charte des Droits Fondamentaux de l’Union Européenne.
Cette décision implique que les situations dans lesquelles des données personnelles sont transférées vers les Etats-Unis :
- Les transferts sur base du Privacy Shield sont en violation du RGPD et doivent par conséquent être suspendus ;
- Les transferts basés sur tout autre garantie appropriée (clauses types de protection des données, règles d’entreprise contraignantes, code de conduite approuvé, décision d’adéquation etc.) s’appliquent pour autant que des garanties suffisantes pour prévenir toute atteintes aux droits et libertés individuelles soient mises en place…
Par conséquent,
les organismes concernés (ex. PME, entités locales ou groupes) afin de répondre
à leur obligation d’accountability (art24), devront vérifier que tout transfert
de données personnelles à destination des Etats-Unis assure une protection
suffisante, à défaut, ces derniers devront être suspendus tant que des
garanties appropriées ne seront pas mise ne place.
[1] Considérant 14 : « Le bouclier de protection des données UE-États-Unis repose sur un système d’autocertification en vertu duquel les organisations américaines s’engagent à respecter une série de principes de protection de la vie privée, constitués de principes-cadres et de principes complémentaires (ci-après, conjointement, les «principes»), qui sont publiés par le ministère américain du commerce et qui figurent à l’annexe II de la présente décision. Ce bouclier s’applique à la fois aux responsables du traitement et aux sous-traitants (mandataires), avec ceci de spécifique que les sous-traitants doivent être contractuellement tenus d’agir uniquement sur instruction du responsable européen du traitement et d’aider ce dernier à répondre aux demandes des personnes qui exercent leurs droits en vertu des principes »