Logo Logo
Cookiebot

Le règlement général sur la protection des données (RGPD) et la directive ePrivacy (ePR) affectent la manière dont votre site web peut utiliser les cookies et à quel endroit dans le monde il peut envoyer des données personnelles.

Scannez gratuitement votre site web pour voir si vous envoyez des données personnelles à des pays non adéquats.

Schrems II and Privacy Shield ruling out of CJEU.

Publié le 17 juillet 2020.


Les données personnelles provenant de l'UE peuvent-elles être transférées et stockées aux États-Unis tout en garantissant un niveau de protection des données adéquat comme celui prévu par le RGPD ?

C'était la question centrale dans l'affaire Schrems II devant la CJUE.

Lisez cet article pour en savoir plus sur l'arrêt Schrems II et ses conséquences pour votre site web.


Résumé rapide


Schrems II, Privacy Shield et flux de données entre l'UE et les États-Unis

La Cour de justice de l'UE (CJUE) a rendu jeudi 16 juillet 2020 un arrêt dans l'affaire connue sous le nom de Schrems II (C-3111/18), dans laquelle les mécanismes de transfert de données personnelles entre l'UE et les États-Unis ont été contestés. L’argument est que la législation américaine ne peut pas garantir de manière adéquate la protection des données personnelles en provenance de l'UE.

Dans une décision qui fait date, la CJUE a annulé le « Privacy Shield », l'un des mécanismes les plus utilisés permettant aux sociétés commerciales américaines de transférer et de stocker des données à caractère personnel de l'UE aux États-Unis.

La décision de la CJUE d'invalider le « Privacy Shield » fait des États-Unis un pays inadéquat qui n'a donc aucun accès particulier aux flux de données à caractère personnel de l'Europe.

La CJUE a également validé les Clauses Contractuelles Types (CTT), un autre mécanisme couramment utilisé pour les transferts de données transatlantiques, en affirmant que ce mécanisme permet en pratique de garantir le respect du niveau de protection requis par le droit communautaire.

Toutefois, la décision exige que les responsables du traitement des données évaluent le niveau de protection des données dans le pays du destinataire et suspendent le transfert s'il est jugé non adéquat. Elle souligne également la forte obligation de chaque autorité de protection des données dans tous les États membres de l'UE de suspendre le transfert de données à caractère personnel si elles le jugent dangereux au regard des exigences de l'UE en matière de protection des données.

Communiqué de presse officiel de la Cour de justice de l'UE sur l'arrêt Schrems II

En attendant une réponse de l'industrie, en particulier de Facebook qui est directement impliqué dans l'arrêt Schrems II de la Cour de justice de l'UE, voici comment vous pouvez obtenir une transparence totale des flux de données de votre site web, y compris la destination des données personnelles de vos utilisateurs finaux dans le monde.


Où votre site web envoie-t-il des données ?


Scannez gratuitement votre site web avec Cookiebot

Scannez votre site web pour obtenir une vue d'ensemble et un contrôle complet de tous les cookies et du suivi en cours sur votre site web. La technologie de scan de Cookiebot, leader mondial, vous permet de déterminer le type de données traitées par votre domaine et l'endroit dans le monde où les données sont envoyées.

Obtenez gratuitement un rapport d'analyse de Cookiebot qui indique à quels pays chaque cookie de votre site web envoie des données sur les utilisateurs et si ces pays sont considérés comme adéquats par l'UE.

Grâce à Cookiebot, vous bénéficiez d'une transparence totale des flux de données de votre site web et d'un contrôle total des cookies tiers, tels que les cookies de Facebook et de Google en provenance des États-Unis.



L'arrêt Schrems II implique un contrôle supplémentaire du transfert de données personnelles entre l'UE et les États-Unis.

Le bandeau de consentement de Cookiebot permet de respecter pleinement le RGPD sur votre site web.



La plateforme de gestion des consentements de Cookiebot permet un véritable consentement des utilisateurs finaux grâce à un bandeau cookie qui regroupe automatiquement tous les traceurs en quatre catégories de cookies faciles à comprendre, que les utilisateurs finaux peuvent activer et désactiver de manière granulaire, garantissant un consentement valide selon le RGPD.


Une transparence totale

La technologie de scan de Cookiebot détecte tous les cookies et les traceurs de votre site web et détermine exactement le type de données personnelles qu'ils traitent et le lieu où ils envoient des données, ce qui vous permet de connaître rapidement le niveau de conformité de votre domaine et la protection des données de l'utilisateur final.


Conformité totale

La plateforme de gestion des consentements de Cookiebot donne le contrôle total à l'utilisateur final, lui permettant de donner un consentement granulaire pour chaque objectif spécifique de traitement des données, comme l'exige le RGPD pour garantir une protection totale des données personnelles.


Personnalisation complète

Cookiebot est entièrement personnalisable, ce qui permet à votre site web d'informer ses utilisateurs de votre configuration spécifique de cookies et de suivi et de les engager dans un dialogue honnête et transparent sur les données que vous traitez, comment, dans quel but et à quel endroit du monde elles sont envoyées.

Scannez gratuitement votre site web pour voir où dans le monde les données personnelles sont envoyées

Essayez Cookiebot gratuitement pendant 30 jours... ou pour toujours si vous avez un petit site web

En savoir plus avec l'article de l'équipe de support client de Cookiebot sur l'envoi de données personnelles à des pays non adéquats (en anglais)

En savoir plus sur le RGPD et le consentement aux cookies

En savoir plus sur la conformité du CCPA avec Cookiebot


En quoi consiste l'affaire Schrems II ?


Du nom de Max Schrems, avocat autrichien et militant de la protection des données à caractère personnel de la NOYB, l'affaire Schrems II a remis en cause deux des mécanismes les plus utilisés pour le transfert de données à caractère personnel de l'UE vers les États-Unis, à savoir les Clauses Contractuelles Types (CCT) et le Privacy Shield.

Le règlement général sur la protection des données (RGPD) de l'UE exige qu'un pays dispose d'un niveau de protection des données adéquat avant que des données personnelles puissent lui être transférées depuis l'UE. Les décisions d'adéquation prises par la Commission européenne déterminent si les données à caractère personnel peuvent légalement être envoyées à un pays en dehors de l'UE.

Les États-Unis ne sont pas reconnus par l'UE comme ayant un niveau de protection des données adéquat, mais plusieurs mécanismes de transfert permettent aux sociétés et organisations commerciales des États-Unis d'effectuer des transferts de données à caractère personnel de l'UE vers les États-Unis où elles sont ensuite stockées.

Il s'agit notamment des Clauses Contractuelles Types (CCT), du Privacy Shield et des règles d'entreprise contraignantes (BCR).


Les normes de protection des données de l'UE peuvent-elles être garanties après le transfert vers les États-Unis ?

L'affaire Schrems II a été portée devant la CJUE à la suite d'une demande adressée en 2015 par Max Schrems au commissaire irlandais à la protection des données (Data Protection Commissioner) afin d'ordonner à Facebook de suspendre ses transferts de données de l'UE vers les États-Unis.

Les pratiques de Facebook consistant à transférer des données personnelles hors de l'UE via leurs serveurs en Irlande vers leur siège aux États-Unis reposent sur les CCT.

L'affaire Schrems II a remis en cause la légalité de ce système, en faisant valoir qu'un niveau adéquat de protection des données dans l'UE ne peut être assuré par Facebook, puisque les lois américaines (comme la FISA 702 et le décret présidentiel 12.333) imposent une surveillance de masse, ce qui contraste fortement avec la législation européenne (comme le RGPD) qui impose une forte protection des données.

La demande de M. Schrems d'interdire les transferts de données de Facebook de l'UE vers les États-Unis a été transmise à la CJUE par la Haute Cour irlandaise. Cette dernière a posé onze questions qui portent toutes sur la question de savoir si et comment les données personnelles des citoyens européens peuvent être protégées aux États-Unis, dont le paysage juridique est fondamentalement différent.

L'arrêt rendu par la CJUE dans l'affaire Schrems II le 16 juillet 2020 a donné raison en grande partie à Max Schrems, invalidant le Privacy Shield en tant que mécanisme de transfert de données personnelles entre l'UE et les États-Unis. Il impose également de fortes obligations aux responsables du traitement des données et aux autorités de protection des données dans chaque État membre de l'UE afin d'assurer une protection adéquate des transferts de données personnelles lors de l'utilisation des Clauses Contractuelles Types.

Testez gratuitement votre site web pour voir s’il envoie des données personnelles à des pays qui ne sont pas adéquats


FAQ


Qu'est-ce que Schrems II ?

Schrems II est une affaire de la Cour de justice de l'Union européenne (CJUE) portant sur les mécanismes qui permettent aux données personnelles de circuler de l'UE vers les États-Unis. La CJEU a annulé le Privacy Shield, un cadre largement utilisé pour le transfert de données personnelles vers les États-Unis, et a statué que les Clauses Contractuelles Types (CCT) peuvent être utilisées, à condition que le responsable du traitement des données, le destinataire des données et l'autorité de protection des données du pays membre de l'UE estiment que le transfert est en mesure d'assurer un niveau de protection des données adéquat.

Scanner gratuitement pour voir où votre site web envoie des données


Mon site web envoie-t-il des données aux États-Unis ?

Si votre site web utilise des cookies et des traceurs provenant de plateformes de médias sociaux, d'outils d'analyse ou de logiciels de marketing gérés par des entreprises américaines, il est très probable qu'ils transfèrent et stockent des données personnelles de vos utilisateurs finaux aux États-Unis.

Scannez votre site web avec Cookiebot pour obtenir une transparence totale


Mon site web est-il conforme au RGPD ?

Pour que votre site web soit conforme au règlement général sur la protection des données (RGPD), vous devez demander et obtenir le consentement explicite des utilisateurs finaux avant toute collecte, traitement ou partage de leurs données personnelles. Si vous avez des cookies Facebook ou Google sur votre site web, ceux-ci ne peuvent être activés qu'après que vos utilisateurs ont donné leur consentement.

En savoir plus sur le RGPD et le consentement aux cookies


Comment puis-je rechercher des cookies sur mon site web ?

L'utilisation d'une plateforme de gestion des consentements dotée d'une technologie de scan de pointe vous permet d'analyser en profondeur votre domaine afin de détecter et de contrôler tous les cookies et autres technologies de suivi analogues. La cartographie de la configuration des cookies de votre site web vous donne un aperçu instantané de la manière dont votre site web traite les données personnelles et des endroits dans le monde où il envoie ces données.

Essayez Cookiebot gratuitement pendant 30 jours... ou pour toujours si vous avez un petit site web.


Ressources


Communiqué de presse officiel de la Cour de justice de l'UE (CJUE) dans l'affaire Schrems II/Privacy Shield

La décision Schrems II selon les mots de Max Schrems à NOYB

Arrêt dans l'affaire C-311/18 Data Protection Commissioner/Maximillian Schrems et Facebook Ireland

Le Monde : « L’accord sur le transfert de données personnelles entre l’UE et les Etats-Unis annulé par la justice européenne »

En savoir plus sur le RGPD et le consentement aux cookies

Pour en savoir plus sur la conformité de votre site web avec le RGPD

En savoir plus sur les lignes directrices d'EDPB sur le consentement valide dans l'UE

Essayez Cookiebot gratuitement pendant 30 jours... ou pour toujours si vous avez un petit site web.

Rendez l'utilisation des cookies et du suivi en ligne sur votre site conforme dès aujourd'hui

Faites un essai gratuit