Données a caractère personnel : invalidation par la CJUE du bouclier de protection négocie entre l’UE et les Etats-Unis

L’arrêt du 16 juillet 2020 de la Cour de Justice de l’Union Européenne (affaire C-311/18) constitue un nouveau revers pour la Commission européenne qui estimait que le bouclier de protection de transferts de données personnelles entre l’Union européenne et les Etats-Unis, dénommé « Privacy Shield », présentait un niveau de protection adéquat.

Source : CJUE – Affaire C-311/18, Data Protection Commissioner c/ Maximillian SCHREMS – Facebook Ireland Ltd

 

La pugnacité de Maximillian SCHREMS, juriste et militant autrichien ayant pour cheval de bataille la protection des données à caractère personnel, a de nouveau porté ses fruits, au grand dam de la Commission européenne.

 

C’est en effet la seconde fois en 5 ans qu’un accord de transfert de données personnelles entre l’Union européenne et les Etats-Unis est invalidé par la Cour de Justice de l’Union Européenne, sur l’initiative de ce dernier, lequel avait déposé une plainte visant à interdire le transfert de ses données, litige amenant à statuer sur la validité de la décision de la Commission n°2016/1250 du 12 juillet 2016 reconnaissant l’adéquation du niveau de protection assurée par le bouclier de protection des données UE – Etats-Unis, le « Privacy Shield », avec le droit européen.

 

1. Le contexte

 

Utilisateur du réseau social Facebook, Monsieur SCHREMS considérait que le transfert de données personnelles vers les Etats-Unis, puis leur traitement, n’offraient pas de garantie suffisante concernant leur protection.

 

C’est dans ces conditions qu’il avait saisi l’autorité irlandaise de contrôle, la filiale de Facebook en Europe transférant les données vers les Etats-Unis étant basée dans ce pays, le litige étant ensuite porté devant la CJUE sur question préjudicielle de la High Court irlandaise.

 

Précédemment, dans son arrêt du 6 octobre 2015 (affaire C362/14 – arrêt « SCHREMS I »), cette même Cour avait annulé le « Safe Harbor », première mouture de ce bouclier de protection, la CJUE formulant des réserves rédhibitoires quant à l’étendue des pouvoirs des services de renseignement américains, lesquels pouvaient avoir accès aux données stockées dès lors qu’ils estimaient qu’un intérêt de sécurité publique le justifiait, constituant ainsi une violation de la Charte des droits fondamentaux de l’UE, le RGPD n’étant pas encore adopté au moment de cette procédure.

 

Suite à cette décision, un nouvel accord entre l’UE et les Etats-Unis avait été « négocié » au pas de charge, censé améliorer la protection des données personnelles, le « Privacy Shield » entrait donc en vigueur le 1er août 2016, soit quelques mois seulement après l’invalidation de son prédécesseur, un si court délai au regard des enjeux était déjà suspect.

 

Préalablement à cette entrée en vigueur et cette fois dans le cadre du RGPD, la Commission avait reconnu l’adéquation du niveau de protection assurée par ce bouclier des données personnelles transférées par une entité européenne vers des entreprises établies aux États-Unis (décision UE 2016/1250 du 12 juillet 2016).

 

C’est cette décision qui a fait l’objet d’une question préjudicielle dans le cadre de la plainte initiée par Monsieur SCHREMS.

 

En effet, celui-ci estimant que le « Privacy Shield » n’assurait toujours pas une protection suffisante des données des citoyens européens et s’est une nouvelle fois tourné vers l’autorité de contrôle irlandaise pour requérir la suspension ou l’interdiction du transfert de ses données personnelles de l’Union européenne vers les Etats-Unis.

 

C’est sans véritable surprise que la Cour a, une nouvelle fois, invalidé cet accord.

 

En effet, les critiques exprimées par la CJUE dans l’arrêt SCHEMS I du 6 octobre 2015 restaient entièrement d’actualité puisqu’aucune garantie supplémentaire n’était donnée par le « Privacy shield », notamment sur l’impossibilité pour les services secrets américains de collecter, sans mandat, des données relatives à des citoyens non américains situés en dehors des Etats-Unis, étant par ailleurs observé que les entreprises américaines s’appuyaient sur un mécanisme d’auto-certification de conformité au « Privacy Shield » en dehors donc d’un réel contrôle des autorités américaines.

 

Ainsi, les critiques à l’origine de l’invalidation de l’accord dit du « Safe Harbor » n’avaient tout simplement pas disparu, ce qu’a constaté la Cour.

 

2. L’arrêt de la CJUE du 16 juillet 2020

 

 Sur le « Privacy Shield »

 

La CJUE relève en premier lieu que le transfert de données à caractère personnel effectué par un opérateur économique établi dans un Etat membre vers un autre opérateur établi dans un pays tiers, susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté de l’Etat par les autorités du pays tiers concerné, ici les Etats-Unis, était soumis aux dispositions du RGPD (Règlement Général sur la Protection des Données applicable à partir du 25 mai 2018).

 

Celui-ci précise que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données.

 

Selon ce règlement, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat, contrôle effectué ici et consigné dans sa décision contesté du 12 juillet 2016.

 

La Cour rappelle que les dispositions du RGPD imposent que les personnes dont les données à caractère personnel sont transférées vers un pays tiers doivent bénéficier d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par ce règlement.

 

Selon l’arrêt, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises par le droit européen, la Cour émettant l’hypothèse d’ingérences dans les droits fondamentaux des personnes dont les données sont transférées vers les Etats-Unis.

 

La Cour relève ainsi que les programmes de surveillance américains ne présentent pas de réelles garanties pour des personnes non américaines potentiellement visées.

 

Elle insiste d’ailleurs sur ce point en affirmant que si la réglementation américaine prévoit des exigences que les autorités américaines doivent respecter lors de la mise en œuvre de programmes de surveillance, elle ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux.

 

Fort de ces constats, LA CJUE invalide la décision de la Commission du 12 juillet 2016 reconnaissant l’adéquation du niveau de protection assurée par le « Privacy Shield », retenant que les exigences relatives à la sécurité nationale et à l’intérêt public ne sont pas susceptibles de primer sur la protections des données personnelles des citoyens européens.

 

 Sur les clauses contractuelles types

 

A travers cette même question préjudicielle, la CJUE était également appelée à se prononcer sur la validité de la décision 2010/87 de la Commission du 5 février 2010 détaillant les clauses contractuelles types encadrant le transfert de données à caractère personnel effectué par un « exportateur » européen vers un « importateur » hors Union.

 

En préambule, la Cour rappelle que les données à caractère personnel transférées vers un pays tiers sur le fondement de clauses contractuelles types doivent bénéficier d’un niveau de protection équivalent à celui garanti par le RGPD.

 

Elle conditionne ensuite la validité de ces clauses au fait que celles-ci présentent des mécanismes effectifs permettant d’assurer que le niveau de protection requis par le RGPD soit respecté et que les transferts des données à caractère personnel soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer.

 

Dans ce cadre, une autorité nationale de protection des données personnelles est compétente pour suspendre ou mettre un terme à un transfert de données lorsqu’elle considère que les clauses contractuelles types ne peuvent pas être respectées dans le pays tiers où se situe le destinataire du transfert, à défaut pour l’exportateur établi dans l’Union européenne d’avoir lui-même suspendu ou mis fin à un tel transfert.

 

En effet, la décision de la Commission rappelle l’obligation pour l’exportateur des données et le destinataire des transferts de vérifier que le niveau de protection est respecté dans le pays tiers concerné, obligeant le destinataire à informer l’exportateur des données de son éventuelle incapacité à se conformer aux clauses contractuelles types de protection, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu avec le destinataire.

 

La Cour estime ici que les clauses contractuelles types répondent aux conditions définies par le droit européen destinées à assurer la protection des données personnelles des citoyens européens et valide ainsi la décision de la Commission du 5 février 2010 détaillant lesdites clauses.

 

La CNIL et le Comité Européen pour la Protection des Données ont annoncé se prononcer prochainement sur les conséquences de cet arrêt, la question des transferts de données entre l’Union européennes et les Etats-Unis ne pouvant en tout état de cause restée en jachère et fera certainement l’objet de nouvelles négociations, eu égard aux étroites relations économiques entre ces 2 marchés et l’incontournable présence en Europe des géants américains du Net.

 

La portée de cet arrêt ne le limitant pas aux seules relations EU – Etats-Unis, il sera également intéressant d’observer les négociations dans ce domaine dans le cadre du Brexit.

 

Vianney DESSENNE