L'arret Schrems II explique : l'invalidation du Privacy Shield et ses consequences

Le 16 juillet 2020, la CJUE a invalide le Privacy Shield UE-US, estimant que les lois de surveillance americaines (FISA 702, EO 12.333) permettent aux agences de renseignement d'acceder aux donnees des personnes non americaines sans controle adequat.

Conclusions principales : La loi FISA 702 permet la surveillance de masse des personnes non americaines. Les citoyens europeens ne disposent d'aucun recours judiciaire effectif. Les mecanismes de controle du Privacy Shield manquaient d'independance.

Les Clauses Contractuelles Types restent valables en principe mais necessitent une evaluation au cas par cas des protections du pays de destination. Pour les transferts vers les Etats-Unis, cette evaluation est quasiment impossible a satisfaire.

Impact sur les entreprises : Les fournisseurs cloud americains (AWS, Google Cloud, Azure) sont problematiques quel que soit l'emplacement des serveurs. Tout SaaS traitant des donnees personnelles europeennes fait face a des defis de conformite. Les outils d'analyse web qui transferent les donnees des visiteurs vers une infrastructure americaine sont concernes.

Que faire : Auditez les flux de donnees, evaluez les alternatives basees dans l'UE, priorisez les domaines a haut risque comme l'analyse web et la publicite, et documentez toutes les decisions de conformite. Considerez les transferts de donnees UE-US comme juridiquement risques et planifiez en consequence.