Le 3 octobre 2017, la Haute Cour de justice irlandaise a rendu une décision qui pourrait, au terme, aboutir à la remise en cause des clauses contractuelles types utilisées par Facebook, et bien d’autres acteurs, pour le transfert de données à caractère personnel hors de l’Union européenne.

Rappelons que le cadre juridique des transferts de données à caractère personnel des citoyens européens vers les Etats-Unis a été bouleversé suite à l’invalidation du Safe Harbor (CJUE, aff. C-362/14, Schrems c. Data Protection Commissioner, 6 octobre 2015), remplacé depuis août 2016 par le Privacy Shield.

La Commission européenne a rendu un rapport le 10 octobre 2017 suite au premier bilan annuel réalisé sur le Privacy Shield. Il résulte de ce rapport que le Privacy Shield garantit un niveau de protection adéquat notamment par la mise en place par les autorités américaines de structures et de procédures nécessaires pour garantir le bon fonctionnement du texte (mise en place de mécanismes et de procédures de traitement des plaintes par exemple). Toutefois, la Commission européenne préconise un certain nombre de modifications visant à garantir et à maintenir le bon fonctionnement du Privacy Shield telle qu’une sensibilisation accrue des citoyens de l’Union européenne sur les modalités d’exercice de leurs droits et sur le dépôt de plaintes.

Perçu comme une source d’insécurité juridique, de nombreux acteurs se sont abstenus de recourir au Privacy Shield et se sont tournés vers les clauses contractuelles types telles que rédigées par la Commission européenne. La société Facebook ne fait pas exception à la règle. Or, ce sont justement ces clauses contractuelles types de l’entreprise qui sont l’objet du présent litige sur lequel la Cour irlandais s’est prononcée. En effet, afin de déterminer si les clauses contractuelles types utilisées par Facebook assurent un niveau de protection adéquat des données transférées aux Etats-Unis, la juge irlandaise a estimé que des questions préjudicielles devaient être posées à la Cour de justice de l’Union européenne (CJUE).

Mathias Avocats revient sur l’affaire.

Quels sont les faits ?

En l’espèce, M. Schrems a saisi le régulateur irlandais (Data Protection Commissioner ou DPC) au motif que ses données à caractère personnel ne seraient pas suffisamment protégées, au regard de la réglementation européenne applicable à la protection des données, une fois transférées aux Etats-Unis.

Il invoque notamment les obligations légales mises à la charge des entreprises concernant la transmission de données à caractère personnel aux autorités américaines et l’absence de recours juridictionnels appropriés lorsque tel est le cas (Point 28 de la décision du 3 octobre 2017). Il estime également que le principe de confidentialité des données à caractère personnel est méconnu tout comme les droits des personnes.

La société Facebook soutient notamment que le transfert des données à caractère personnel des utilisateurs européens aux autorités étatiques américaines répond à un impératif de sécurité nationale. Elle estime également que ses clauses contractuelles types offrent des garanties suffisantes et une protection adéquate. En outre, Facebook avance un argument économique en précisant que ces clauses « sont essentielles aux entreprises de toutes tailles et leur maintien est crucial pour permettre une croissance économique sans obstacle ».

Suite à son enquête, le DPC s’est tourné vers la Haute Cour de justice irlandaise car il estimait que la plainte de M. Schrems soulevait des questions concernant la validité de trois décisions de la Commission européenne relatives aux clauses contractuelles types pour les transferts de données à caractère personnel (2001/497/CE, 2004/915/CE, 2010/87/UE).

Si la Cour irlandaise estime bien que l’affaire soulève des questions quant à la validité des décisions précitées, elle refuse cependant de se prononcer sur la validité desdites décisions. En effet, il appartient à la seule Cour de justice de l’Union européenne d’analyser les décisions de la Commission européenne à la lumière du droit européen applicable à la protection des données. Ce n’est que dans ce contexte que la décision rendue permettra une application uniforme du droit de l’Union européenne dans tous les Etats membres.

Ainsi, la Haute Cour de justice irlandaise a décidé de transmettre des questions préjudicielles à la CJUE. Préalablement, les parties ont été invitées à communiquer à la Cour irlandaise les questions préjudicielles qu’elles souhaitent voir poser à la Cour de Luxembourg. Etant précisé que la sélection définitive des questions sera réalisée par le juge irlandais.

Quels sont les enjeux ?

En fonction des questions qui lui seront posées, la décision de la CJUE pourrait avoir un effet sur le cadre juridique des transferts de données à caractère personnel au moyen des clauses contractuelles types vers les Etats-Unis.

Il convient en outre de souligner que le Règlement général sur la protection des données (RGPD) prévoit qu’un transfert de données à caractère personnel vers un pays tiers peut être réalisé si le responsable du traitement ou le sous-traitant a prévu des garanties appropriées (article 46 du RGPD). Or, parmi ces garanties figurent les clauses contractuelles types adoptées par la Commission européenne. Dans ce contexte, si les décisions de la Commission européenne relatives aux clauses contractuelles types venaient à être invalidées, en tout ou partie, par le juge européen, la disposition précitée du RGPD pourrait, en pratique, être privée d’effet pour ce qui concerne les Etats-Unis.

Il convient de souligner que les pratiques du réseau social Facebook concernant les données à caractère personnel sont au cœur de plusieurs litiges. En effet, la Commission nationale de l’informatique et des libertés (Cnil) et l’Autorité espagnole de protection des données (AEPD) ont eu l’occasion de sanctionner l’entreprise pour plusieurs violations de la réglementation applicable à la protection des données à caractère personnel.

Les questions préjudicielles effectivement posées à la Cour de Luxembourg devraient être prochainement connues. Mathias Avocats ne manquera pas de vous tenir informés.