Par un arrêt rendu le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) a invalidé le Privacy Shield (CJUE, Aff. C-311/18, Data Protection Commissioner contre Facebook Ireland Ltd et Schrems).

En effet, saisie dans le cadre de l’affaire Max Schrems II, la CJUE a invalidé la décision d’exécution (UE) 2016/1250 du 12 juillet 2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis.

Par ailleurs, après une analyse des clauses contractuelles types au regard du RGPD, la CJUE a affirmé la validité de la décision 2010/87 du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers.

Toutefois, la Cour rappelle que le responsable du traitement ou le sous-traitant doit s’assurer, lors de chaque transfert de données à caractère personnel à destination d’un pays tiers n’ayant pas un niveau de protection adéquat, d’avoir les garanties effectives contenues au sein des clauses contractuelles types (CCT). Ainsi, le cas échéant, les opérateurs économiques pourront, au besoin, formuler des garanties supplémentaires à celles offertes par les CCT par des engagements contractuels qui viendraient compléter les CCT.

Cet arrêt important a suscité, dès son prononcé, de nombreuses et vives réactions tant au niveau européen qu’aux Etats Unis. L’autorité de contrôle irlandaise s’est félicitée de la décision et a précisé que « the CJEU’s Safe Harbour judgment of 2015 was to be read as indicating that, for reasons associated with the structure of the legal system in operation in the United States, EU-US data transfers were inherently problematic. Moreover, this was so, whatever the legal mechanism by which such transfers were conducted. ».

Le Secrétaire au Commerce Wilbur Ross a déclaré que le Département du Commerce des Etats-Unis était « profondément déçu » de la décision de la CJUE. Il a précisé : « We (…) hope to be able to limit the negative consequences to the $7.1 trillion transatlantic economic relationship (…). Data flows are essential not just to tech companies—but to businesses of all sizes in every sector. As our economies continue their post-COVID-19 recovery, it is critical that companies—including the 5,300+ current Privacy Shield participants—be able to transfer data without interruption (…). ».

Par ailleurs, il a également déclaré que le Département du Commerce continuerait à s’appuyer sur l’accord Privacy Shield et que les entités n’étaient pas libérées de leurs obligations découlant de cet accord.

La Commissaire européenne Věra Jourová a, quant à elle, énoncé : « We would like on the American side a federal law that would be equivalent or similar to the General Data Protection Regulation».

Mathias Avocats vous fournit une analyse des points essentiels de la décision de la CJUE.

Les faits

Les faits de l’arrêt du 16 juillet 2020 remontent à l’affaire Max Schrems I. Monsieur Schrems avait déposé une plainte auprès de l’autorité de contrôle irlandaise, considérant qu’au vu des révélations sur l’affaire « PRISM » impliquant la NSA, la législation américaine n’offrait pas une protection suffisante des données personnelles des citoyens européens hébergées aux Etats-Unis.

Plus précisément, Monsieur Schrems, en tant qu’utilisateur de Facebook, contestait la validité des transferts de ses données par Facebook Ireland vers des serveurs de Facebook Inc. situés aux Etats-Unis. Ces transferts étaient réalisés sur le fondement de l’accord Safe Harbour, instauré par la décision de la Commission du 26 juillet 2000. Saisie par la Haute Cour de justice irlandaise, la CJUE avait invalidé l’accord Safe Harbour dans un arrêt du 6 octobre 2015, que nous avons expliqué dans un article précédent.

A la suite de cet arrêt, l’accord Privacy Shield a été négocié et la Commission européenne a reconnu dans la décision d’exécution (UE) 2016/1250 du 12 juillet 2016 précitée qu’il était de nature à assurer un niveau de protection des données à caractère personnel « essentiellement équivalent » aux exigences européennes.

Eu égard à cette invalidation, l’autorité de contrôle irlandaise a invité Monsieur Schrems à reformuler sa plainte. Ce dernier a maintenu son argument selon lequel la législation américaine n’offrait toujours pas une protection suffisante des données à caractère personnel transférées vers ce pays.

Etant précisé que Facebook Ireland et Facebook Inc. fondent le transfert d’une grande partie des données à caractère personnel sur le fondement des CCT instaurées par la décision 2010/87/UE précitée.

Dans ce contexte, la CJUE a été, une nouvelle fois, saisie par la Haute Cour de justice irlandaise de plusieurs questions préjudicielles, à savoir :

  • l’interprétation et la validité de la décision 2010/87/UE du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers,
  • l’interprétation et la validité de la décision d’exécution (UE) 2016/1250 du 12 juillet 2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis.

Pour rappel, le règlement européen sur la protection des données (RGPD) prévoit plusieurs outils juridiques pour encadrer le transfert de données à caractère personnel vers des pays en dehors de l’UE. Les décisions d’adéquation, comme l’accord Privacy Shield, constituent l’un des principaux outils de transfert. En l’absence d’une telle décision d’adéquation, le responsable du traitement ou le sous-traitant doit mettre en place des garanties appropriées prévues à l’article 46 du RGPD pour encadrer le transfert envisagé. Le considérant 108 du RGPD précise que ces garanties doivent « assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union, y compris l’existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d’engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l’Union ou dans un pays tiers. ».

Parmi ces garanties, figurent notamment les CCT adoptées par la Commission. Dans cette logique, le considérant 109 du RGPD énonce que si les responsables du traitement et les sous-traitants recourent à ces clauses types, ils peuvent y ajouter d’autres clauses ou des garanties supplémentaires, sous réserve que ces dernières ne contredisent pas le modèle adopté par la Commission et ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.

L’accord « Privacy Shield »

L’accord Privacy Shield ou bouclier de protection des données est entré en vigueur le 1er août 2016 à la suite de la décision d’exécution (UE) 2016/1250 de la Commission, dite également la décision BPE. L’objectif de cet accord est d’assurer un niveau de protection des données à caractère personnel transférées vers les Etats-Unis « essentiellement équivalent » aux exigences européennes.  Cet accord instaure un mécanisme d’auto-certification géré par le Département du Commerce américain par lequel les entreprises américaines, qu’elles soient responsables de traitement ou sous-traitants, doivent s’engager à respecter les principes définis par le texte (information des personnes, finalité limitée des traitements, sécurité des données, etc.).

Dès son entrée en vigueur ce texte a suscité de nombreuses réserves. Ainsi, la Commission, dans ses rapports annuels a demandé des améliorations, notamment en sollicitant la nomination d’un médiateur afin de réponse au nombre croissant de demandes émanant des citoyens de l’Union.

Ainsi, cette invalidation annoncée de longue date n’est pas surprenante au regard des libertés et droits fondamentaux des personnes concernées.

L’invalidation du « Privacy Shield »

Sur le contenu de la décision BPE, la Cour relève que les restrictions à la protection des données personnelles qui découlent de la réglementation américaine sur l’accès et l’utilisation des données par les autorités américaines « ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité ».

En effet, la Cour estime que les programmes de surveillance prévus par la réglementation américaine notamment au regard de la section 702 du Foreign Intelligence Surveillance Act ainsi que sur le fondement de l’Executive Order 12333 ne sont pas « limités au strict nécessaire », et donc ne sont pas proportionnés au regard de la protection des données à caractère personnel.

A ce titre, la Cour rappelle notamment que pour que l’exigence de proportionnalité soit satisfaite, la réglementation en cause comportant l’ingérence doit permettre que « les personnes dont les données ont été transférées disposent de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus ».

L’article 45-2 du RGPD précise également que, dans le cadre de son évaluation du caractère adéquat du niveau de protection assuré par un pays tiers, la Commission tient compte notamment de l’existence :

  • des droits effectifs et opposables des personnes dont les données à caractère personnel sont transférées,
  • et de la possibilité effective d’exercer des voies de recours administratives et judiciaires.

Toutefois, la Cour relève qu’en vertu de la réglementation américaine, les personnes concernées ne bénéficient pas de droits opposables aux autorités américaines devant les tribunaux, « si bien que ces personnes ne disposent pas d’un droit de recours effectif ». La Cour juge également que le mécanisme de médiation prévue par la décision BPE ne permet pas aux personnes concernées, justiciables, de disposer de la possibilité d’exercer des voies de recours devant un tribunal indépendant et impartial.

Affirmation de la validité des CCT, avec leur adaptation au cas par cas

La Cour rappelle que ce mécanisme contractuel prévu à l’article 46, 2, c) du RGPD « repose sur la responsabilisation du responsable du traitement ou de son sous-traitant établis dans l’Union ainsi que, à titre subsidiaire, de l’autorité de contrôle compétente ».

La Cour en déduit qu’il appartient « avant tout à ce responsable du traitement ou à son sous-traitant de vérifier, au cas par cas et, le cas échéant, en collaboration avec le destinataire du transfert, si le droit du pays tiers de destination assure une protection appropriée (…) en fournissant, au besoin, des garanties supplémentaires à celles offertes par ces clauses ».

A la lecture des stipulations des CCT, le responsable du traitement, le destinataire du transfert des données à caractère personnel ainsi que l’éventuel sous-traitant de ce dernier s’engagent mutuellement à ce que le traitement mis en œuvre est et sera en conformité avec les principes de protection des données. Ces derniers s’engagent à garantir l’effectivité des mesures contractuelles détaillées dans les CCT et, le cas échéant, à les compléter par des engagements contractuels distincts.

En d’autres termes, les CCT ne devront pas systématiquement être modifiées pour inclure ces garanties supplémentaires. En conséquence, la validation des CCT modifiées par l’autorité de contrôle compétente exigée par l’article 46-3 du RGPD ne sera pas toujours nécessaire. En revanche, les clauses contractuelles relatives à la protection des données des contrats de prestation de services devront inclure des stipulations renforcées sur les transferts de données.

Compte tenu des garanties énoncées ci-dessus, si le destinataire ou son sous-traitant n’est pas ou n’est plus en mesure d’apporter de telles garanties, il lui appartient d’en informer le responsable du traitement. Dans cette hypothèse, le responsable du traitement sera libre soit de suspendre le traitement mis en œuvre, soit de résilier le contrat en sollicitant la restitution ou la destruction des données transférées. Rappelons que les personnes concernées ayant subi un dommage, du fait du non-respect de ces clauses, pourront solliciter la réparation de leur préjudice auprès du responsable du traitement

Quels sont les impacts de cette décision ?

Cet arrêt ouvre une réflexion, allant au-delà du transfert de données aux Etats-Unis, à l’ensemble des transferts au sein de pays tiers à l’Union européenne. En effet, de nombreux autres pays (Australie, Russie, Chine, etc.) ont adopté des législations relatives à leur sécurité nationale rendant possibles des ingérences dans les droits fondamentaux. Concernant plus spécifiquement des négociations post-Brexit, cette décision pourrait constituer un socle de référence dans le cadre de l’examen du droit britannique et de sa conformité avec les libertés et droits fondamentaux européens.

Rappelons également que l’article 46 du RGPD prévoit plusieurs mécanismes de transferts des données à caractère personnel vers des pays tiers, sans que ces derniers nécessitent une autorisation par une autorité de contrôle, comme notamment les BCR ou un code de conduite « assorti de l’engagement de contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer des garanties appropriées ». Ces codes de bonne conduite peuvent aussi être des instruments de conformité dans le cadre de secteur d’activité.

Sur le plan pratique, les opérateurs américains (hébergeurs Saas, éditeur, etc.) concernés en premier lieu par cet arrêt n’ont pas manqué de réagir en réaffirmant leur volonté de conformité aux principes issus du RGPD.

Chaque organisme, responsable de traitement ou sous-traitant, doit donc revoir ses mécanismes contractuels de transferts des données à destination de pays tiers à la lumière de cette décision.

Mathias Avocats reste à votre disposition pour vous accompagner dans cette nouvelle mise en conformité.