Schrems II : Validation des clauses types (CJUE) (2/2)
Les clauses types de protection des données adoptées par la Commission européenne sont valides, bien qu’elles ne soient pas opposables aux autorités du pays vers lequel les données sont transférées. Cela étant, le recours aux clauses types ne dispense pas l’exportateur de données d’évaluer les risques dans le cas concret et, le cas échéant, d’établir des garanties supplémentaires. L’exportateur doit en particulier vérifier que le droit du pays de destination permet au destinataire des données de respecter ses engagements et n’autorise pas d’ingérence disproportionnée de la part des autorités.
Faits
Maximilian Schrems, juriste et activiste autrichien, introduit une plainte concernant le transfert de ses données personnelles par la filiale européenne de Facebook à une entité du groupe aux États-Unis. À l’issue d’une enquête, l’autorité de contrôle irlandaise saisit la High Court afin que celle-ci vérifie la validité des motifs justificatifs sur lesquels s’appuie Facebook pour exporter les données vers les États-Unis. La High Court sursoit à statuer et saisit la Cour de Justice de l’Union européenne (CJUE) de questions préjudicielles.
La CJUE est notamment invitée à examiner la validité de (1) la décision d’adéquation de la Commission européenne permettant les transferts de données vers les États-Unis dans le cadre du Privacy Shield et (2) la décision de la Commission européenne selon laquelle les clauses types de protection des données offrent des garanties suffisantes pour un transfert de données vers un pays tiers.… Lire la suite