Les Briefings France-Allemagne n°9 : L’incompatibilité des transferts de données vers les États-Unis avec le droit de l‘UE

De nombreuses entreprises européennes continuent de transférer illégalement des données à caractère personnel vers les États-Unis. C'est le résultat d'une étude du cep, qui examine les conséquences de l’arrêt de la Cour de Justice de l’Union européenne du mois de juillet 2020.

Le jugement avait déclaré le transfert de données sur la base de la décision d’adéquation « Privacy Shield », en vigueur jusqu’alors, comme étant irrecevable au regard du droit de l’UE. Bien que l’utilisation de clauses contractuelles types (CCT) reste en principe autorisée, « les transferts de données d’entreprises de l’UE vers des services de cloud computing aux États-Unis, tels que Microsoft, Amazon, Google ou Dropbox, sont toutefois illégaux lorsque les destinataires de ces données sont soumis aux lois de surveillance américaines et ont accès au contenu des données en clair », selon l’auteure de l’étude, Anja Hoffmann. 

Dans ces cas précis, rien ne peut empêcher efficacement l’accès des autorités américaines à ces données, pas même des mesures supplémentaires de protection. Cela s’applique également lorsque les entreprises s’appuient sur des réglementations internes de protection des données.

Cette étude du cep examine l’arrêt « Schrems II » et ses conséquences, y compris les possibilités de sa mise en œuvre, et prend également en compte les projets de recommandations du Conseil européen de la protection des données (CEPD) ainsi que les CCT amendées de la Commission européenne.