RAPPEL DES DISPOSITIONS DE DROIT PERTINENTES :
Le règlement général relatif à la protection des données (ci-après “RGPD”) dispose dans son article 45 que pour qu’un transfert de données vers un pays tiers à l’Union Européenne soit valide, il faut que le pays tiers en question assure un niveau de protection adéquat des données. Pour démontrer un tel niveau de protection, la Commission Européenne peut émettre une décision d’adéquation par laquelle elle estime que la législation interne et les engagements internationaux d’un pays tiers sont suffisants pour que le transfert de données vers ce pays soit autorisé par principe, sans aucune autre obligation ou autorisation spécifique.
En l’absence d’une décision d’adéquation prononcée par la Commission, les transferts de données vers un pays tiers ne sont autorisés que si l’exportateur de données à caractère personnel établi dans l’Union Européenne “a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives” (article 46 paragraphe 1 RGPD). Ces garanties peuvent notamment résulter de clauses types de protection des données adoptées par la Commission (article 46 paragraphe 2 c) RGPD).
En l’absence à la fois d’une décision d’adéquation, et de la présence de garanties appropriées, le transfert vers un pays tiers ne peut se faire qu’à des conditions très précises (et restrictives) listées à l’article 49 RGPD.
CONTEXTE ET QUESTIONS POSÉES A LA CJUE :
Maximilien Schrems est un citoyen autrichien défenseur de la vie privée. Étant un utilisateur de Facebook depuis 2008, ses données, dans le cadre de l’utilisation du réseau social, sont en tout en en partie, transférées par Facebook Ireland vers les serveurs Facebook Inc. situés sur le territoire des États-Unis, où elles subissent un traitement. Maximilien Schrems a déposé le 25 juin 2013 une plainte auprès de l’autorité autrichienne de contrôle, visant en substance à faire interdire le transfert de ses données à caractère personnel vers les États-Unis, en affirmant que ce pays ne garantissait pas une protection suffisante des données à caractère personnel, notamment au vu des activités de surveillance pratiquées par les autorités publiques.
Cette plainte a d’abord été rejetée, au motif que dans sa décision 2000/520, la Commission avait constaté que le niveau de protection des données personnelles assuré par les États-Unis était bien adéquat, par le biais de leur réglementation “Safe Harbor”. Cependant, la CJUE saisie d’une question préjudicielle posée par la Haute Cour d’Irlande, a jugé la décision 2000/520 invalide par un arrêt du 6 octobre 2015 (arrêt “Schrems I”). L’arrêt ayant invalidé la décision d’adéquation de la Commission, c’est la législation “Safe Harbor” dans son ensemble qui a été remise en cause par la CJUE, et qui n’est plus considérée comme apportant un niveau de protection des données suffisant pour permettre par principe les transferts de données vers les États-Unis.
Suite à l’arrêt “Schrems I”, deux évolutions importantes se sont produites :
- En l’absence d’une décision d’adéquation visant les États-Unis, Facebook Ireland a décidé de fonder le transfert des données personnelles vers les États-Unis sur la base de clauses contractuelles types, validées par la Commission dans l’annexe de sa décision 2010/87.
- Suite à la remise en cause de la législation “Safe Harbor”, les États-Unis et l’Europe ont entamé des discussions autour de la mise en place d’un nouveau cadre législatif aux États-Unis permettant la libre circulation des données, sans passer par des garanties supplémentaires telles que les clauses contractuelles types. Ces discussions aboutissent à la nouvelle législation appelée “Privacy Shield”, dont la version finale est approuvée le 8 juillet 2016. Le 12 juillet 2016, la Commission Européenne adopte la décision 2016/1250 par laquelle elle déclare adéquat le niveau de protection assuré par le Privacy Shield, et autorise donc la libre circulation des données entre les États-Unis et l’Europe.
Cependant, suite à l’arrêt Schrems I, l’autorité de contrôle irlandaise a invité Maximilien Schrems à reformuler sa plainte (compte tenu de l’invalidation, par la Cour, de la décision 2000/520). Celui-ci, en substance, maintient que les États-Unis n’offrent pas de protection suffisante des données transférées vers ce pays. Il demande encore une fois de suspendre ou d’interdire, pour l’avenir, les transferts de ses données à caractère personnel depuis l’Union vers les États-Unis. Cette plainte reformulée a été transmise à la Haute Cour irlandaise, qui a estimé que la réponse dépendait à la fois de la validité de la décision 2010/87 (clauses contractuelles types approuvées par la Commission) et de la décision 2016/1250 (décision d’adéquation liée au “Privacy Shield”). C’est pourquoi, par décision du 4 mai 2018, la Haute Cour irlandaise a saisi la Cour d’un renvoi préjudiciel, lui demandant de statuer sur la validité tant de la décision 2010/87 que de la décision 2016/1250 dans le cadre d’un arrêt “Schrems II”.
Et en effet, il est clair que ces deux questions se posent ici. Si la décision d’approbation du “Privacy Shield” par la Commission est valide, le transfert des données vers les États-Unis l’est également, sans autre obligation spécifique. Mais si la décision 2016/1250 est invalidée, reste encore la question des clauses contractuelles types qui peuvent rendre malgré tout licite le transfert des données vers les États-Unis. C’est pourquoi ce renvoi préjudiciel est particulièrement important, en ce qu’il permet de trancher d’un coup deux questions fondamentales.
LA DÉCISION DE LA COUR :
En substance, la CJUE dans son arrêt Schrems II rendu le 16 juillet 2020 considère que :
- La décision 2016/1250 relative à l’adéquation de la protection assurée par le “Privacy Shield” est invalide.
- En revanche, la décision 2010/87 de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers est valide.
A – L’invalidation du Privacy Shield
La CJUE explique de manière très claire sa décision dans son arrêt, en affirmant notamment que :
“Les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers […], ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.” – Arrêt C-311/18, point 185.
Cette décision n’est pas une surprise, et était même attendue. En effet, le “Privacy Shield” était soumis aux mêmes griefs que la législation “Safe Harbor”. Les invalidations de ces deux textes n’ont en réalité que peu à voir avec les accords en eux-mêmes : elles ont pour source principale les lois de surveillance américaines (et notamment le Patriot Act et le Cloud Act).
Après l’invalidation de la législation “Safe Harbor” par l’arrêt Schrems I, l’histoire était vouée à se répéter avec le “Privacy Shield” par l’arrêt Schrems II, dans le sens où les lois américaines sur le renseignement n’ont pas vraiment changé, et offrent toujours des possibilités très extensives au gouvernement américain. Il s’agit là du véritable noeud du problème, et peu importe le nombre d’accords qui seront conclus entre les États-Unis et l’Europe, ceux-ci seront voués à l’échec tant que la législation sur le renseignement n’aura pas changé aux USA. Si l’arrêt Schrems II peut nous apporter un enseignement, c’est qu’il faudra forcément une modification des lois étasuniennes avant d’arriver à un nouvel accord.
Une telle remise en question du Privacy Shield n’empêche cependant pas tout transfert de données entre les États-Unis et l’Union Européenne. Comme exposé ci-dessus, en l’absence d’une décision d’adéquation basé sur une telle législation, les transferts de données à caractère personnel restent possibles lorsque des garanties appropriées ont été prévues par l’exportateur des données (article 46 paragraphe 1 RGPD), ou même dans les cas listés à l’article 49 RGPD en l’absence de ces garanties.
Si l’invalidation du Privacy Shield n’empêche pas tout transfert, il faut malgré tout reconnaître qu’il peut s’agir d’un frein à la circulation des données personnelles entre les États-Unis et l’Union Européenne. Une décision d’adéquation permet d’éviter la mise en place des différentes garanties listées à l’article 46, qui peut prendre du temps et des ressources.
B – La validation des clauses contractuelles types
Comme noté ci-dessus, la CJUE s’est également prononcé, au travers de son arrêt, sur les clauses contractuelles types permettant d’apporter les garanties nécessaires au transfert de données personnelles vers des pays tiers, et approuvées par la la Commission dans sa décision 2010/87.
De telles clauses sont tout à fait valides, affirme la CJUE. Selon la Cour, la validité de cette décision n’est pas remise en cause par le seul fait que les clauses types de protection des données figurant dans celle-ci ne lient pas, en raison de leur caractère contractuel, les autorités du pays tiers vers lequel un transfert des données pourrait être opéré. La présence des lois de renseignement américaines ne suffit donc pas en soi à invalider les clauses types.
La validité de ces clauses dépend uniquement de la présence de mécanismes effectifs permettant en pratique d’assurer que le niveau de protection requis dans le cadre du RGPD soit respecté, ainsi que les transferts de données personnelles qui sont fondés sur de telles clauses soient interdits ou suspendus en cas de violation de ces clauses, ou impossibilité de les honorer. La décision 2010/87 et les clauses qui y sont présentées permettent bien, pour la CJUE, de respecter ces deux exigences, en ce que notamment elle oblige le destinataire des données à informer l’exportateur des données de son éventuelle incapacité de se conformer aux clauses types de protection, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu avec le premier.
Pour conclure, l’arrêt C-311/18 (arrêt “Schrems II”), s’il n’est pas particulièrement surprenant, reste très important pour nombre d’organisations qui, s’appuyant auparavant sur la décision d’adéquation de la Commission pour transférer leurs données aux États-Unis, ne le peuvent plus. De telles organisations devront désormais mettre en place les garanties listées à l’article 46 RGPD pour justifier leurs transferts de données vers les États-Unis. Une solution dans ce cadre étant de recourir aux clauses contractuelles types qui, exposées dans la décision 2010/87 de la Commission, ont été approuvées par la CJUE par ce même arrêt. Au-delà du résumé partagé par la CJUE dans son communiqué de presse, la CNIL procède actuellement à une analyse précise de l’arrêt, en lien avec ses homologues européens réunis au sein du Comité Européen pour la Protection des Données. Ce travail commun permettra, dans les meilleurs délais, de tirer les conséquences de cette décision pour les transferts de données de l’Union européenne vers les États-Unis.
Quentin Roland