Skip to main content

Schrems II

TL;DR

Schrems II est le nom donné à une affaire de la CJCE (Cour de justice des Communautés européennes) qui reposait sur le fait que les entreprises américaines ne peuvent pas garantir des normes adéquates en matière de protection des données personnelles. En conséquence, le transfert de données personnelles entre l'UE et les États-Unis est devenu illégal et l'accord Privacy Shield conclu entre les deux parties est devenu obsolète.

Que signifie Schrems II ?

Schrems II est le nom générique donné à une affaire portée devant la Cour de justice des Communautés européennes, qui s'est prononcée en faveur de Max Schrems et a conduit à l'invalidation du Privacy Shield entre l'UE et les États-Unis, le 16 juillet 2020. En conséquence, il est devenu illégal pour tout type de processeur de données d'utiliser des services des États-Unis, qui donneraient à ces services l'accès aux données personnelles des citoyens de l'UE, sans expliquer pleinement les risques. Les conséquences ont été très graves, au point que certaines grandes entreprises américaines (par exemple Facebook) ont envisagé d'interrompre purement et simplement leurs activités dans l'UE.

Une précédente affaire, connue sous le nom de Schrems I, lancée par la même personne, avait été à l'origine d'une issue similaire en 2015. La décision de la CJUE dans l'affaire Schrems II, était basée sur l'argument selon lequel, notamment en raison de la législation américaine comme laloi CLOUD, il n'y a aucun moyen de garantir la confidentialité des données personnelles si elles sont traitées par des entreprises américaines. Les agences fédérales utilisant un mandat pourraient toujours forcer les entreprises de traitement de données comme Google ou Facebook à divulguer des informations personnelles sur les utilisateurs, sans aucun consentement de leur part. L'endroit où sont physiquement placés les serveurs contenant les données n'a aucune importance. Par conséquent, tout citoyen de l'UE qui accède à un site web hébergé aux États-Unis ou à un site web qui utilise des applications tierces gérées par des entreprises américaines (par exemple, Google Analytics) doit être correctement informé de toutes les implications juridiques du transfert de données, ainsi que de tous les risques.

Pour plus de détails sur les conséquences de Schrems II, vous pouvez lire cet aperçu. En résumé, elles sont les suivantes

  • les propriétaires de sites web ayant des visiteurs de l'UE ne peuvent pas stocker des données en dehors de l'UE, à moins que la législation de ce pays puisse assurer un niveau de protection adéquat des données
  • tout service tiers utilisé par un site web doit également offrir une protection, et ne peut donc pas être basé aux États-Unis. Ces services peuvent inclure : des outils d'analyse de sites web, des outils de gestion de la relation client, des services de publicité, des outils de chat, des outils d'analyse des utilisateurs, etc.
  • la liste des entreprises américaines qui étaient exemptées des règles, sur la base du Privacy Shield, n'opèrent plus légalement
  • les bannières de consentement doivent inclure des informations spécifiques sur les cookies, ainsi que les règles de transfert de données