La Cour de justice de L’Union européenne (CJUE) a rendu le 16 juillet 2020 un arrêt majeur dans l’affaire dite « Schrems 2 » concernant les
mécanismes de transferts de données hors de l’Union Européenne (UE). Elle a ainsi annulé le Privacy Shield qui permettait aux Etats-Unis d’être considérés comme un pays ayant un niveau de « protection adéquate »
par la Commission européenne pour les transferts de données à caractère personnel vers des organisations américaines auto-certifiées, tout en considérant que les clauses contractuelles types demeuraient, quant à elles, valides

Le « Privacy Shield » en question
Les transferts de données vers des pays tiers à l’UE ne peuvent en effet avoir lieu qu’à certaines conditions :
1. Au titre de ces conditions figurent le fait que la Commission
européenne ait constaté que le pays tiers assure un niveau de protection adéquat
2. ou, faute de décision d’adéquation, que les parties aient mis en place des garanties appropriées comme les « règles d’entreprise contraignantes »
, ou les « clauses contractuelles types ».
3. Le Privacy Shield, lui, reposait sur un système d’auto-certification en vertu duquel les entreprises américaines s’engageaient à respecter une
série de principes en matière de protection des données
auprès du ministère du commerce américain (FTC).

Grâce à ce mécanisme, la Commission européenne avait considéré, en juillet 2016, au moyen d’une décision d’adéquation, que les Etats-Unis offraient un niveau de protection adéquate, permettant ainsi les transferts de données entre une entreprise de l’UE et des entreprises américaines
auto-certifiées. Déjà sujet à de vifs débats au moment de son adoption qui suivait de près l’annulation de son prédécesseur, le Privacy Shield avait pour objectif de maintenir au plus vite les accords commerciaux entre l’UE
et les Etats-Unis tout en assurant un niveau de protection suffisant des données transférées aux Etats-Unis.
La période de répit pour les transferts de données vers les Etats-Unis aura toutefois été de courte durée puisque l’Autrichien Max Schrems a poursuivi la procédure qui avait conduit à l’invalidation du Safe Harbor dans la désormais célèbre affaire « Schrems 1 ».

Ce sont des suites de cette procédure, dans le cadre d’un litige opposant la « Cnil » irlandaise (DPC) à Facebook Iretand Ltd et à Max Schrems au sujet d’une plainte concernant le transfert de ses données par Facebook Ireland à Facebook Inc. aux Etats-Unis que plusieurs questions préjudicielles ont été soumises à la CJUE.
Dans l’affaire « Shrems 2 », la CJUE a ainsi été amenée à
examiner la validité du Privacy Shield au regard des exigences
découlant du RGPD, lues à la lumière des dispositions de la Charte des droits fondamentaux de l’UE garantissant le respect de la vie privée et familiale, de la protection des données personnelles et du droit à une protection juridictionnelle effective. La CJUE devait déterminer si
les programmes de renseignement et de surveillance mis en place aux Etats-Unis et les garanties prévues dans la règlementation américaine – pouvant concerner des ressortissants européens – étaient mis en oeuvre dans le respect des exigences de proportionnalité et de respect des
droits des personnes.
Si la CJUE rappelle que les articles 7 (respect de la vie privée)
et 8 (protection des données personnelles) de la Charte des droits fondamentaux de l’UE ne sont pas des « prérogatives absolues ». elle estime toutefois que l’intervention des autorités publiques américaines constitue une atteinte à ces principes et que les limitations qui en découlent ne sont ni proportionnées, ni nécessaires et ne permettent pas l’exercice de droits effectifs et opposables dont doivent nécessairement bénéficier les personnes concernées.

Atteinte aux droits fondamentaux
La CJUE souligne que, contrairement au niveau de protection offert par l’UE, les programmes de surveillance américains aux fins du renseignement extérieur ne contiennent aucune limitation ni n’offrent aucune garantie pour les personnes concernées de l’UE (non américaines), celles-ci ne pouvant par ailleurs pas opposer leurs droits aux autorités publiques américaines devant les tribunaux. Pour parvenir à cette conclusion, elle précise notamment que le mécanisme de médiation prévu par le Privacy Shield n’est ni indépendant, ni pourvu de force contraignante à l’égard
des services de renseignement. La CJUE ajoute que les programmes de surveillance fondées sur les dispositions de la PPD 28 ne sont pas limités au strict nécessaire (contrevenant ainsi au principe de proportionnalité), dans la mesure où ils permettent de procéder à une collecte massive de données et ce sans aucune surveillance judiciaire.
Forte de tous ces griefs, la CJUE a donc logiquement considéré que la décision d’adéquation du Privacy Shield était invalide. Les critiques formées à l’encontre des « clauses contractuelles types » étaient un peu différentes, puisque celles-ci peuvent être utilisées pour des transferts vers tout pays tiers à l’UE.

Maintien des « clauses contractuelles types »
La CJUE était, entre autres, interrogée sur le fait de savoir si leur nature contractuelle, ayant ainsi un effet relatif à l’égard des autorités publiques étrangères, n’était pas de nature à remettre en cause leur validité, dans la mesure où elles pourraient ainsi ne pas permettre aux personnes
concernées d’empêcher l’accès à leurs données et/ou d’exercer leurs droits. Elle a estimé que le seul fait que les clauses contractuelles types ne soient pas contraignantes vis-à-vis des autorités publiques d’un pays tiers n’était pas de nature à emporter l’invalidation de celles-ci. La CJUE a toutefois rappelé en subs tan ce qu’il appartient au responsable de traitement et au destinataire des données de vérifier préalablement à tout transfert si le pays tiers permet en pratique d’assurer un niveau de protection
essentiellement équivalent à celui garanti dans l’UE par le RGPD. Le cas échéant, ils sont alors tenus, soit de prendre les mesures nécessaires pour compenser l’insuffisance de garanties du pays destinataire, soit – si le pays tiers destinataire des données dispose d’une réglementation contraire aux principes figurant dans les clauses contractuelles types – de s’interdire un tel transfert ou d’y mettre fin.

Concernant la deuxième question sur le fait de savoir si les mécanismes figurant au sein même des clauses contractuelles types étaient de nature à assurer de manière effective la protection adéquate requise par l’article 45 du RGPD, la CJUE apporte une réponse positive sans détours :
les différents engagements pris par les parties au titre des clauses contractuelles types sont autant de garanties qui permettent de constituer des mécanismes d’effectivité suffisante.
Cette décision est pourtant bien plus complexe qu’il n’y paraît. Il serait, à notre sens, hâtif d’en déduire que la CJUE donne un blanc-seing à l’utilisation des clauses contractuelles types pour les transferts hors UE. Elle invite, tout au contraire, les responsables de traitement et leurs destinataires à se lancer dans une véritable analyse détaillée de la législation du pays tiers pour vérifier si les garanties qui sont fournies par les clauses contractuelles types peuvent réellement y être respectées en pratique. Dans le cas contraire, ils devront mettre en place, en plus des obligations figurant dans le corps même des clauses, des garanties supplémentaires afin de rendre réellement effectifs les droits des personnes
concernées et l’existence d’un recours juridictionnel.

Le point 132 de la décision de la CJUE semble pointer vers le considérant 109 du RGPD, qui lui-même invite les parties prenantes aux clauses contractuelles types à les compléter par d’autres clauses fournissant des
garanties supplémentaires. L’introduction de garanties supplémentaires par voie contractuelle ne se heurtera-t’elle pas, dans certains cas, à la même suprématie des lois impératives américaines ? Dans l’attente d’orientations plus détaillées, le Comité européen à la protection des données
CEPD, qui réunit les « Cnil » européennes, précise que ce pourrait être des mesures juridiques, techniques ou organisationnelles. Ces deux derniers types de mesures étant certainement les plus à même d’assurer de manière
plus effective une certaine protection des données.
La décision rendue par la CJUE ne s’arrête pas en réalité à
la seule invalidité du Privacy Shield, et ce sont les transferts vers les Etats-Unis dans leur ensemble – quel que soit le mécanisme de transfert utilisé – qui sont en réalité largement questionnés par cet arrêt. Comme le reconnaît le CEPD, les législations américaines qui sont pointées du doigt dans
l’arrêt de la CJUE s’appliquent en réalité à tout transfert vers les Etats-Unis quel que soit l’outil de transfert utilisé.
De fait, la CJUE estime en réalité que le droit américain ne
permet pas d’assurer à lui seul un niveau de protection essentiellement équivalent à celui prévu dans l’UE.
Par ailleurs, au-delà des Etats-Unis, ce sont les transferts en dehors de l’UE vers des pays disposant de lois permettant des programmes de surveillance intrusifs qui sont questionnés. En pratique, il est difficile pour les entreprises d’anticiper pour l’heure toutes les conséquences de cette
décision ou l’effectivité des garanties supplémentaires quelles pourraient mettre en place, lorsque celles mises en place par la Commission européenne et le département de commerce américain ont échouées.
Les réactions des autorités de contrôle et du CEPD sont fortement attendues dans les prochains mois pour proposer aux entreprises des solutions pragmatiques leur permettant de tirer toutes les conséquences de cet arrêt, tout en pérennisant si possible les transferts hors UE.

Comment pérenniser les transferts ?
Dans l’attente d’orientations plus détaillées, les entreprises sont ainsi invitées à identifier tous leurs transferts en dehors de l’UE, le mécanisme de transferts utilisé, et à conduire une analyse de la législation du pays en question pour déterminer si celle-ci permet d’assurer un niveau de
protection essentiellement équivalent à celui garanti dans l’UE. Et ce, afin d’envisager au besoin les éventuelles garanties supplémentaires effectives qui pourraient être mises en place.
Néanmoins, la pérennité et la sécurité juridique des transferts hors UE pourraient ne trouver un véritable salut que par une réponse politique adaptée et attendue.

px

C’ est un nouvel arrêt retentissant que vient de rendre la Cour de justice de l’Union européenne (CJUE). À l’origine de cette décision, on trouve une plainte déposée par Maximilian Schrems, un citoyen autrichien utilisateur de Facebook depuis 2008.

Cet activiste s’est attaqué au transfert de données personnelles des utilisateurs européens de Facebook vers des serveurs américains où celles-ci font l’objet d’un retraitement. Il considère en effet que les États- Unis n’offrent pas un niveau de protection suffisant contre l’accès à ces données par les autorités publiques américaines.

Maximilian Schrems a donc tenté d’interdire ces transferts vers les États-Unis. Suite à une plainte déposée en Irlande, le pays d’origine du flux de données, une question préjudicielle a été posée à la CJUE.

La plus haute juridiction de l’UE devait rendre sa décision sur la validité de deux dispositifs encadrant le transfert de données depuis l’Europe : le privacy shield (bouclier de la vie privée), un dispositif américain de protection des données reconnu par l’Union européenne, et l’une des “clauses-types”, une série de documents à remplir par les entreprises désirant transférer leurs données vers des pays n’offrant pas un niveau de protection adéquat (Chine, Inde…).

La Cour de justice a purement et simplement invalidé la reconnaissance européenne du privacy shield, un dispositif utilisé par des milliers d’entreprises pour transférer leurs données depuis l’Europe vers les États-Unis. La haute juridiction estime en effet que les pouvoirs de surveillance des autorités américaines sont trop étendus.

“Un séisme”

“Cet arrêt aura un impact énorme sur les entreprises, commente Tanguy Van Overstraeten, Partner chez Linklaters. Environ 5 000 sociétés transfèrent leurs données depuis l’UE vers les États-Unis via le privacy shield. À l’heure actuelle, ces entreprises n’ont plus de base légale pour transférer leurs données. En pratique, le flux ne va pas s’arrêter ce jeudi, ce serait le chaos.” Que va-t-il se passer, alors ? Selon cet expert, le Comité européen de protection des données, qui est chargé d’uniformiser les décisions des autorités nationales de protection des données, devrait communiquer sur les suites à donner à l’arrêt de la CJUE. Énormément d’entreprises certifiées au privacy shield doivent, sans periode de grace trouver une autre méthode juridique pour transféré des données hors de l’UE.

Qu’en est-il des clauses-types, un autre moyen (plus lourd) pour transférer des données en dehors de l’UE ? “Le système des clauses-
types n’est pas invalidé mais la Cour de justice a imposé une série d’obligations aux entreprises qui y ont recours. En théorie, elles devront vérifier le contexte entourant la protection des données dans le pays hôte”, précise Marie. Avec quelles conséquences, alors qu’énormément de PME, et même de plus grandes entreprises, se contentaient de signer les documents en question sans aller voir plus loin ? “C’est très difficile à dire, commente Marie. Il s’agit en théorie d’un vrai bouleversement, mais on verra en pratique. Je doute que des PME, et même des entreprises de plus grande taille, soient outillées pour vérifier le contexte relatif à la protection des données dans tel ou tel pays.”

Tous les pays qui reçoivent des données européennes ne sont pas concernés par cet arrêt. En effet, une douzaine d’États sont considérés comme le cas de la Suisse, du Japon, de l’Argentine, de la Nouvelle-Zélande, du Canada…. Pour ces pays, rien ne change…

Précisons enfin que Facebook transfère aujourd’hui ses données européennes vers les États- Unis sur la base des clauses-types, plutôt que du privacy shield. Dans un premier temps, le réseau social ne devrait donc pas être touché par cet arrêt dont il est à l’origine.

Par ailleurs, Monique Goyens, directrice générale de l’Association européenne de protection des consommateurs, a salué cette décision. “Le privacy shield ne protège pas suffisamment les données personnelles, estime-t-elle. Ce dispositif contient de nombreuses failles depuis le début.”