Arrêt Schrems II : Le Privacy Shield américain invalidé

Actualités juridiques

Affaires Juridiques

Dans son arrêt du 16 juillet 2020 rendu dans l’affaire C?311/18 Data Protection Commissioner/Maximillian Schrems et Facebook Ireland[1] (ci-après, « Schrems II »), la Cour de Justice de l’Union européenne (ci-après, « CJUE ») vient bousculer la pratique en matière de transfert de données à caractère personnel vers les Etats-Unis.

En effet, jusqu’à cette décision, ces transferts pouvaient être fondés sur la base de la décision de la Commission n°2016/1250 relative à l'adéquation de la protection assurée par le bouclier de protection des données (communément appelé le « Privacy Shield ») UE-États-Unis (ci-après, la « Décision d’adéquation 2016/1250 »).  

Dans l’arrêt Schrems II, la CJUE vient de déclarer la Décision d’adéquation 2016/1250 invalide.

Par conséquent, les entreprises souhaitant continuer à transférer des données à caractère personnel depuis l’Europe vers les Etats-Unis, sont, le cas échéant, contraintes de trouver dans les jours et semaines à venir une nouvelle base de légitimité à leurs transferts.

Dans le même arrêt, la Cour a également eu l’occasion de déclarer la validité de la décision 2010/87 de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers.

Lien vers le communiqué de presse de la CJUE.


[1] Cet arrêt s’incrit à la suite de l’arrêt de la CJUE dit « Schrems I », du 6 octobre 2015 dans l'affaire C-362/14 Maximillian Schrems / Data Protection Commissioner, dans lequel la Cour a déclaré invalide la décision de la Commission relative au Safe Harbour scheme constatant que les États-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées.