Logo Logo
Cookiebot

Le règlement général sur la protection des données (RGPD) et la directive ePrivacy (ePR) affectent la manière dont votre site web peut utiliser les cookies et à quel endroit dans le monde il peut envoyer des données personnelles.

Scannez gratuitement votre site web pour voir si vous envoyez des données personnelles à des pays non adéquats.

Schrems II and Privacy Shield ruling out of CJEU.

Mis à jour le 12 novembre 2020.


En juillet 2020, la Cour de justice de l'Union européenne (CJUE) a annulé le Privacy Shield qui garantissait la libre circulation des données entre l'UE et les États-Unis au motif que les données personnelles transférées et stockées aux États-Unis ne pouvaient pas être garanties à un niveau de protection des données aussi élevé que celui prévu par le RGPD.

Dans cet article de blog, nous vous guidons à travers l'arrêt Schrems II, les recommandations du Comité européen de protection des données (EDPB) pour évaluer et sécuriser les transferts de données en dehors de l'UE, et les conséquences pour votre site web.

Utilisez le puissant scanner de Cookiebot pour voir où votre site web envoie des données.


Résumé rapide


Schrems II, Privacy Shield et flux de données entre l'UE et les États-Unis

La Cour de justice de l'UE (CJUE) a rendu jeudi 16 juillet 2020 un arrêt dans l'affaire connue sous le nom de Schrems II (C-3111/18), dans laquelle les mécanismes de transfert de données personnelles entre l'UE et les États-Unis ont été contestés. L’argument est que la législation américaine ne peut pas garantir de manière adéquate la protection des données personnelles en provenance de l'UE.

Dans une décision qui fait date, la CJUE a annulé le « Privacy Shield », l'un des mécanismes les plus utilisés permettant aux sociétés commerciales américaines de transférer et de stocker des données à caractère personnel de l'UE aux États-Unis.

La décision de la CJUE d'invalider le « Privacy Shield » fait des États-Unis un pays inadéquat qui n'a donc aucun accès particulier aux flux de données à caractère personnel de l'Europe.

La CJUE a également validé les Clauses Contractuelles Types (CTT), un autre mécanisme couramment utilisé pour les transferts de données transatlantiques, en affirmant que ce mécanisme permet en pratique de garantir le respect du niveau de protection requis par le droit communautaire.

Toutefois, la décision exige que les responsables du traitement des données évaluent le niveau de protection des données dans le pays du destinataire et suspendent le transfert s'il est jugé non adéquat. Elle souligne également la forte obligation de chaque autorité de protection des données dans tous les États membres de l'UE de suspendre le transfert de données à caractère personnel si elles le jugent dangereux au regard des exigences de l'UE en matière de protection des données.

Communiqué de presse officiel de la Cour de justice de l'UE sur l'arrêt Schrems II

FAQ du EDPB sur l'affaire Schrems II et Privacy Shield

En attendant une réponse de l'industrie, en particulier de Facebook qui est directement impliqué dans l'arrêt Schrems II de la Cour de justice de l'UE, voici comment vous pouvez obtenir une transparence totale des flux de données de votre site web, y compris la destination des données personnelles de vos utilisateurs finaux dans le monde.

Recommandations du EDPB pour les transferts de données en dehors de l'UE


Le 10 novembre 2020, le Comité européen de protection des données (EDPB) a adopté des recommandations sur la manière de transférer des données en dehors de l'UE dans un guide étape par étape destiné aux entreprises et aux organisations, apportant ainsi des éclaircissements sur la confusion qui règne dans le secteur depuis la suppression du bouclier de protection de la vie privée au début de l'année 2020.

Les recommandations du EDPB aident les propriétaires et les opérateurs de sites web à naviguer dans l'océan juridique de l'envoi de données en dehors de l'UE vers des pays non adéquats, tels que les États-Unis, tout en s'assurant que les données restent protégées.

Le EDPB a également publié un second document - les garanties essentielles de l'UE - qui peut être utilisé comme support pour les propriétaires et les opérateurs de sites web, lorsqu'ils évaluent si les transferts de données vers un pays sont sécurisés ou non.

Recommandations du EDPB sur les mesures complémentaires (PDF)

Les garanties essentielles de l'UE (PDF)

Dans la section suivante, nous passons en revue les recommandations du EDPB pour des transferts de données sûrs en dehors de l'UE, en mettant l'accent sur les conséquences de l'utilisation de cookies par votre site web et du traitement des données personnelles de vos utilisateurs finaux.

N.B. : n'oubliez pas que les sites web peuvent envoyer des données par d'autres moyens que les cookies et les traceurs.

Étape 1 - Où envoyer les données ?

Vous devez savoir à quel endroit votre site web envoie des données à caractère personnel de l'utilisateur final - c'est la première étape.

C'est la clé de tout le reste, car si vous découvrez que votre site web envoie des données à caractère personnel d'utilisateurs vers les États-Unis, par exemple, des mesures supplémentaires doivent être prises pour assurer le respect de la réglementation.

La cartographie du flux de données de votre site web peut être une tâche très difficile, mais l'utilisation du puissant scanner de site web de Cookiebot détectera automatiquement tous les cookies et traceurs de votre site et vous donnera un rapport détaillé sur les endroits où votre site web envoie des données.

Scannez gratuitement votre site web pour savoir où dans le monde vous envoyez des données

Étape 2 - comment envoyer les données ?

Une fois que vous avez une vue d'ensemble des endroits dans le monde où votre site web envoie des données à caractère personnel, la deuxième étape des recommandations du EDPB consiste à s'assurer que vous utilisez le bon mécanisme de transfert.

Si votre site web envoie des données à caractère personnel à des pays ayant conclu un accord d'adéquation avec l'UE (par exemple le Japon), vous n'avez pas besoin de prendre d'autres mesures concernant ces transferts de données.

Mais si votre site web envoie également des données à caractère personnel à des pays qui n'ont pas conclu d'accord d'adéquation avec l'UE (par exemple les États-Unis), vous devez vous assurer que votre site web utilise l'un des outils de transfert énumérés à l'article 46 du RGPD.

Et n'oubliez pas que vous devez toujours obtenir le consentement de vos utilisateurs finaux avant de collecter ou de traiter des données à caractère personnel, même si vous ne les envoyez pas à des pays situés en dehors de l'UE.

Consultez gratuitement votre site web pour savoir quels sont les cookies qui permettent de suivre les données personnelles des utilisateurs


Étape 3 - Les données seront-elles protégées après leur envoi ?

La troisième étape du guide de recommandations du EDPB consiste à évaluer si un pays a mis en place des lois ou des pratiques de protection de la vie privée qui peuvent garantir un niveau équivalent de protection des données pour les utilisateurs de votre site web et leurs données personnelles.

Cette étape peut sembler un peu délicate - peut-être n'êtes-vous pas très familier avec la législation américaine sur la protection de la vie privée ?

C'est ici que les garanties essentielles de l'UE du EDPB peuvent vous aider à déterminer le niveau de protection des données d'un pays.

Les garanties essentielles de l'UE peuvent vous aider à avoir une vue d'ensemble de la manière de procéder à une telle évaluation dans les pays où votre site web envoie des données, par exemple en cherchant à savoir si -

Scannez votre site web pour voir où dans le monde vous envoyez des données

Étape 4 - Adoption de protections supplémentaires pour le transfert de données

Si vous découvrez que votre site web envoie des données personnelles d'utilisateurs finaux aux États-Unis, par exemple, qui ne sont pas reconnus comme ayant un niveau de protection des données adéquat, la quatrième étape des recommandations du EDPB indique comment vous pouvez assurer une sécurité supplémentaire autour de vos transferts de données afin qu'ils répondent aux normes d'équivalence de l'UE.

Ces mesures supplémentaires dans les recommandations du EDPB comprennent –

Ces mesures complémentaires se trouvent à l'annexe 2 des recommandations du EDPB (PDF)

Etapes 5 & 6 - Documenter et réévaluer

Dans les deux dernières étapes du guide de recommandations du EDPB, vous êtes encouragés à documenter vos pratiques en matière de transfert de données et la manière dont vous assurez une protection adéquate des utilisateurs finaux de votre site web.

Vous êtes également encouragé à réévaluer vos pratiques de transfert de données à intervalles appropriés pour vous assurer que vous êtes toujours au courant des derniers développements dans les pays où vous envoyez des données personnelles.

Scannez votre site web pour voir où vous envoyez des données

Où votre site web envoie-t-il des données ?


Scannez gratuitement votre site web avec Cookiebot

Scannez votre site web pour obtenir une vue d'ensemble et un contrôle complet de tous les cookies et du suivi en cours sur votre site web. La technologie de scan de Cookiebot, leader mondial, vous permet de déterminer le type de données traitées par votre domaine et l'endroit dans le monde où les données sont envoyées.

Obtenez gratuitement un rapport d'analyse de Cookiebot qui indique à quels pays chaque cookie de votre site web envoie des données sur les utilisateurs et si ces pays sont considérés comme adéquats par l'UE.

Grâce à Cookiebot, vous bénéficiez d'une transparence totale des flux de données de votre site web et d'un contrôle total des cookies tiers, tels que les cookies de Facebook et de Google en provenance des États-Unis.



L'arrêt Schrems II implique un contrôle supplémentaire du transfert de données personnelles entre l'UE et les États-Unis.

Le bandeau de consentement de Cookiebot permet de respecter pleinement le RGPD sur votre site web.



La plateforme de gestion des consentements de Cookiebot permet un véritable consentement des utilisateurs finaux grâce à un bandeau cookie qui regroupe automatiquement tous les traceurs en quatre catégories de cookies faciles à comprendre, que les utilisateurs finaux peuvent activer et désactiver de manière granulaire, garantissant un consentement valide selon le RGPD.


Une transparence totale

La technologie de scan de Cookiebot détecte tous les cookies et les traceurs de votre site web et détermine exactement le type de données personnelles qu'ils traitent et le lieu où ils envoient des données, ce qui vous permet de connaître rapidement le niveau de conformité de votre domaine et la protection des données de l'utilisateur final.


Conformité totale

La plateforme de gestion des consentements de Cookiebot donne le contrôle total à l'utilisateur final, lui permettant de donner un consentement granulaire pour chaque objectif spécifique de traitement des données, comme l'exige le RGPD pour garantir une protection totale des données personnelles.


Personnalisation complète

Cookiebot est entièrement personnalisable, ce qui permet à votre site web d'informer ses utilisateurs de votre configuration spécifique de cookies et de suivi et de les engager dans un dialogue honnête et transparent sur les données que vous traitez, comment, dans quel but et à quel endroit du monde elles sont envoyées.

Scannez gratuitement votre site web pour voir où dans le monde les données personnelles sont envoyées

Essayez Cookiebot gratuitement pendant 30 jours... ou pour toujours si vous avez un petit site web

En savoir plus avec l'article de l'équipe de support client de Cookiebot sur l'envoi de données personnelles à des pays non adéquats (en anglais)

En savoir plus sur le RGPD et le consentement aux cookies

En savoir plus sur la conformité du CCPA avec Cookiebot


En quoi consiste l'affaire Schrems II ?


Du nom de Max Schrems, avocat autrichien et militant de la protection des données à caractère personnel de la NOYB, l'affaire Schrems II a remis en cause deux des mécanismes les plus utilisés pour le transfert de données à caractère personnel de l'UE vers les États-Unis, à savoir les Clauses Contractuelles Types (CCT) et le Privacy Shield.

Le règlement général sur la protection des données (RGPD) de l'UE exige qu'un pays dispose d'un niveau de protection des données adéquat avant que des données personnelles puissent lui être transférées depuis l'UE. Les décisions d'adéquation prises par la Commission européenne déterminent si les données à caractère personnel peuvent légalement être envoyées à un pays en dehors de l'UE.

Les États-Unis ne sont pas reconnus par l'UE comme ayant un niveau de protection des données adéquat, mais plusieurs mécanismes de transfert permettent aux sociétés et organisations commerciales des États-Unis d'effectuer des transferts de données à caractère personnel de l'UE vers les États-Unis où elles sont ensuite stockées.

Il s'agit notamment des Clauses Contractuelles Types (CCT), du Privacy Shield et des règles d'entreprise contraignantes (BCR).


Les normes de protection des données de l'UE peuvent-elles être garanties après le transfert vers les États-Unis ?

L'affaire Schrems II a été portée devant la CJUE à la suite d'une demande adressée en 2015 par Max Schrems au commissaire irlandais à la protection des données (Data Protection Commissioner) afin d'ordonner à Facebook de suspendre ses transferts de données de l'UE vers les États-Unis.

Les pratiques de Facebook consistant à transférer des données personnelles hors de l'UE via leurs serveurs en Irlande vers leur siège aux États-Unis reposent sur les CCT.

L'affaire Schrems II a remis en cause la légalité de ce système, en faisant valoir qu'un niveau adéquat de protection des données dans l'UE ne peut être assuré par Facebook, puisque les lois américaines (comme la FISA 702 et le décret présidentiel 12.333) imposent une surveillance de masse, ce qui contraste fortement avec la législation européenne (comme le RGPD) qui impose une forte protection des données.

La demande de M. Schrems d'interdire les transferts de données de Facebook de l'UE vers les États-Unis a été transmise à la CJUE par la Haute Cour irlandaise. Cette dernière a posé onze questions qui portent toutes sur la question de savoir si et comment les données personnelles des citoyens européens peuvent être protégées aux États-Unis, dont le paysage juridique est fondamentalement différent.

L'arrêt rendu par la CJUE dans l'affaire Schrems II le 16 juillet 2020 a donné raison en grande partie à Max Schrems, invalidant le Privacy Shield en tant que mécanisme de transfert de données personnelles entre l'UE et les États-Unis. Il impose également de fortes obligations aux responsables du traitement des données et aux autorités de protection des données dans chaque État membre de l'UE afin d'assurer une protection adéquate des transferts de données personnelles lors de l'utilisation des Clauses Contractuelles Types.

Testez gratuitement votre site web pour voir s’il envoie des données personnelles à des pays qui ne sont pas adéquats


Le Privacy Shield Suisse - Etats-Unis également aboli


Le 8 septembre 2020, à la suite d'une évaluation du Privacy Shield entre la Suisse et les Etats-Unis qui assure le transfert de données entre les deux pays, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a déclaré que le régime de transfert était inadéquat.

Le PFPDT a estimé que le niveau de protection des données aux États-Unis était insuffisant et le mécanisme de transfert dans le cadre du Privacy Shield Suisse - Etats-Unis a été invalidé - tout comme la CJUE a invalidé le Privacy Shield UE - Etats-Unis.

En savoir plus sur la décision Privacy Shield Suisse - Etats-Unis


FAQ


Qu'est-ce que Schrems II ?

Schrems II est une affaire de la Cour de justice de l'Union européenne (CJUE) portant sur les mécanismes qui permettent aux données personnelles de circuler de l'UE vers les États-Unis. La CJEU a annulé le Privacy Shield, un cadre largement utilisé pour le transfert de données personnelles vers les États-Unis, et a statué que les Clauses Contractuelles Types (CCT) peuvent être utilisées, à condition que le responsable du traitement des données, le destinataire des données et l'autorité de protection des données du pays membre de l'UE estiment que le transfert est en mesure d'assurer un niveau de protection des données adéquat.

Scanner gratuitement pour voir où votre site web envoie des données


Mon site web envoie-t-il des données aux États-Unis ?

Si votre site web utilise des cookies et des traceurs provenant de plateformes de médias sociaux, d'outils d'analyse ou de logiciels de marketing gérés par des entreprises américaines, il est très probable qu'ils transfèrent et stockent des données personnelles de vos utilisateurs finaux aux États-Unis.

Scannez votre site web avec Cookiebot pour obtenir une transparence totale


Mon site web est-il conforme au RGPD ?

Pour que votre site web soit conforme au règlement général sur la protection des données (RGPD), vous devez demander et obtenir le consentement explicite des utilisateurs finaux avant toute collecte, traitement ou partage de leurs données personnelles. Si vous avez des cookies Facebook ou Google sur votre site web, ceux-ci ne peuvent être activés qu'après que vos utilisateurs ont donné leur consentement.

En savoir plus sur le RGPD et le consentement aux cookies


Comment puis-je rechercher des cookies sur mon site web ?

L'utilisation d'une plateforme de gestion des consentements dotée d'une technologie de scan de pointe vous permet d'analyser en profondeur votre domaine afin de détecter et de contrôler tous les cookies et autres technologies de suivi analogues. La cartographie de la configuration des cookies de votre site web vous donne un aperçu instantané de la manière dont votre site web traite les données personnelles et des endroits dans le monde où il envoie ces données.

Essayez Cookiebot gratuitement pendant 30 jours... ou pour toujours si vous avez un petit site web.


Ressources


Communiqué de presse officiel de la Cour de justice de l'UE (CJUE) dans l'affaire Schrems II/Privacy Shield

La décision Schrems II selon les mots de Max Schrems à NOYB

Arrêt dans l'affaire C-311/18 Data Protection Commissioner/Maximillian Schrems et Facebook Ireland

Le Monde : « L’accord sur le transfert de données personnelles entre l’UE et les Etats-Unis annulé par la justice européenne »

En savoir plus sur le RGPD et le consentement aux cookies

Pour en savoir plus sur la conformité de votre site web avec le RGPD

En savoir plus sur les lignes directrices du EDPB sur le consentement valide dans l'UE

Essayez Cookiebot gratuitement pendant 30 jours... ou pour toujours si vous avez un petit site web.

Noveau mode de consentement Google 

Cookiebot intégre parfaitement avec le nouveau Google Consent Mode.

Rendez l'utilisation des cookies et du suivi en ligne sur votre site conforme dès aujourd'hui

Faites un essai gratuit