Le bouclier fracturé par les juges européens
Rappel du contexte :
Ce jeudi 16 juillet 2020, la Cour de Justice de l’Union européenne (CJUE) a rendu une décision qui a eu l’effet d’une bombe (CJUE, Aff. C-311/18, Data Protection Commissioner contre Facebook Irlande Ltd et Schrems). Bien qu’assez prévisible, la Cour invalide la décision d’exécution (UE) 2016/1250 du 12 juillet 2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis, dit « accord Privacy Shield ». Adopté en 2016, à la suite de l’invalidation de l’accord du Safe Harbor par la CJUE, le Privacy Shield avait pour mission d’encadrer le transfert des données personnelles entre l’Europe et les États-Unis. Cependant dès ses débuts, ce « bouclier » fait l’objet d’attaques de la part du Parlement européen, de la CNIL et de diverses associations (La quadrature du Net, NYOB). Ces entités reprochaient l’accès des services de sécurité américaine (FBI, NSA …) aux données européennes transférées, à la suite des révélations d’Edward Snowden de 2013. D’ailleurs, le G29 avait jugé trop faible les dispositions du texte encadrant les données personnelles transmises Outre Atlantique ainsi que trop complexes les modalités de recours à un médiateur américain.
Les Faits :
[1]Cette affaire débute par l’arrêt Schrems I, dans lequel Maximilian Schrems, activiste autrichien et fervent défenseur de la protection de la vie privée, décide de porter plainte auprès de l’Autorité irlandaise de contrôle[2] pour contester les transferts[3] des données personnelles européennes opérés par Facebook vers les États-Unis. En tant qu’utilisateur Facebook, ses données à caractère personnel[4] étaient transférées par Facebook Irlande vers les centres de données de Facebook Inc établis aux États-Unis afin d’y être traitées. Cependant, ce dernier reprochait une protection trop faible de la part de la législation américaine, notamment du fait de l’ingérence des services de sécurité américaine dans les données européennes transmises.
Dans un premier temps, cette demande fut rejetée au motif que dans sa décision 2000/520 du 26 juillet 2000, la Commission européenne avait jugé que les États-Unis assuraient un niveau de protection adéquat[5].
Peu de temps après, à la suite d’une question préjudicielle posée par la Haute Cour d’Irlande, la CJUE affirma l’inverse et annula l’accord Safe Harbor[6]. De là, M. Schrems fut invité par l’Autorité de contrôle irlandaise à reformuler sa plainte[7], dans laquelle, il demanda d’interdire pour l’avenir la transmission des données personnelles européennes vers les États-Unis, surtout que Facebook Irlande effectuait désormais ce transfert sur le fondement des clauses types de protection de l’annexe de la décision 2010/87[8] .
Alors que l’Autorité de contrôle irlandaise initia une procédure devant la Haute Cour d’Irlande, afin que cette dernière pose une question préjudicielle à la CJUE. Au même moment, on apprenait l’adoption de l’accord Privacy Shield par une décision de la Commission européenne, en date du 12 juillet 2016 (UE 2016/1250).
Problème :
La Haute Cour d’Irlande a alors fait un recours préjudiciel devant la CJUE afin que celle-ci se prononce sur : l’applicabilité du RGPD en matière de transfert de données fondé sur des clauses contractuelles types (1), le niveau de protection requis par le RGPD dans le cadre d’un tel transfert (2), ainsi que sur la validité de ces clauses et de l’accord Privacy Shield (3).
Apports :
C’est par une décision très attendue, que la CJUE rend un arrêt le 16 juillet 2020, dans lequel elle invalide le bouclier de protection des données UE/États-Unis mais juge la décision relative aux clauses contractuelles types conformes à la Charte des droits fondamentaux de l’Union.
Pour rappel, le RGPD met en place des mécanismes qui encadrent le transfert des données personnelles vers des pays tiers. L’accord du Privacy Shield est un des principaux mécanismes permettant une adéquation. Cependant en l’absence de cet accord, il revient au responsable de traitement de s’assurer de cette adéquation en vertu de l’article 46 du RGPD
La CJUE répond aux deux (2) premières questions préjudicielles ; et :
- Confirme que le droit de l’Union et a fortiori le RGPD s’applique aux transferts de données personnelles européennes vers les États-Unis, dans un but commercial et même si les données sont au cours du transfert susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté de l’État par les autorités américaines.[9]
- Affirme que dans le cadre du transfert des données personnelles fondé sur des clauses types de protection, le niveau de protection requis par le RGPD en matière de droit des personnes concernées (droits opposables et voies de droit effectives) doit être substantiellement équivalent au droit de l’Union[10]. Dans son considérant 108, le RGPD rappelle que des garanties doivent « assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union, y compris l’existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d’engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l’Union ou dans un pays tiers. ».
La Cour rajoute que les autorités de contrôle doivent obligatoirement suspendre ou interdire un tel transfert vers un pays tiers lorsque les clauses types de protection des données ne sont pas respectées conformément au droit de l’Union dans l’État en question[11].
o L’accord Privacy Shield = Une invalidité des transferts de données
De façon assez prévisible, les juges européens décident d’invalider l’accord Privacy Shield au motif que « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation par les autorités publiques américaines ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire ».
Il est clair que pour la Cour, la législation américaine ne limite pas au strict minimum l’accès de ses autorités aux données personnelles et ne répond donc pas au principe de proportionnalité, encadrant la protection des données. L’exigence d’équivalence prévue à l’article 45 du RGPD n’est donc pas respectée. En effet, il n’existe aucune limitation à la permission de certains programmes de surveillance à user des données transmises, ni de garanties fortes pour les citoyens non américains, éventuellement visés et encore moins pour ces derniers, de droits concrets à opposer aux autorités américaines devant le juge.
Enfin, la possibilité du recours à un médiateur américain, (comme indiqué dans la décision BPD) n’assurait pas selon la Cour, l’indépendance du médiateur à prendre des décisions contraignantes à l’encontre des services de renseignements américains.[12]
Cet arrêt a donc un impact important sur toutes entreprises transférant des données vers les États-Unis qui vont devoir revoir leurs contrats. En effet, dans sa FAQ sur l’invalidation du Privacy Shield, la CNIL affirme qu’aucun délai de grâce n’est offert aux entreprises transférant des données aux États-Unis sur le cadre juridique du Privacy Shield car la loi américaine ne fournit pas un niveau de protection équivalent à celui de l’Union européenne.
o La validation des clauses contractuelles types
La CJUE valide la décision 2010/87 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants situés dans des pays tiers[13]. Il s’agit d’un modèle de contrat type défini par la Commission européenne autorisant les entreprises à exporter les données personnelles de citoyens européens vers le reste du monde[14].
Une condition est néanmoins à respecter : L’usage de clauses contractuelles types est autorisé seulement si le niveau de protection imposé par le droit européen est assuré. La CNIL précise que cette évaluation, doit prendre en compte les circonstances des transferts et les mesures supplémentaires qu’il est possible de mettre en place.
Dans le cas contraire, le transfert de données devra soit être suspendu, soit interdit par le responsable de traitement. Un travail de renforcement des clauses relative à la protection des données personnelle devra être effectué, afin que les entreprises puissent transmettre des données à leur filiales ou maison mères situées sur le sol américain.
Attention, bien qu’en théorie, la CJUE donne la liberté à chaque entreprise de décider si les données personnelles transférées dans le pays destinataire sont conformément protégées ; en pratique sa mise en œuvre semble être beaucoup plus hasardeuse. En effet, alors que la Cour reproche à la législation américaine de ne pas respecter les droits du RGPD, elle ne tranche pas la question concernant le transfert de données sur le sol américain, laissant planer une insécurité juridique. Comme indiqué dans ses conclusions, la protection offerte par la législation américaine est insuffisante et les clauses types ne permettent pas un encadrement du transfert des données suffisantes. Cette question se posera pour tous les États disposant de lois relatives à la sécurité nationale qui permettent des ingérences dans les droits fondamentaux européens (Exemples : Australie, Chine).
En effet comme le précise la CNIL dans sa FAQ, il sera possible de transférer des données vers des États tiers en se fondant sur les clauses types ou des règles d’entreprises contraignantes à condition qu’importateur et exportateur, vérifient que dans leur mise en œuvre, le niveau de protection demandé par le RGPD soit respecté dans le pays tiers.
Il est également possible de fonder un transfert de données vers un État tiers sur une nouvelle mesure d’adéquation. Il s’agit d’une mesure se fondant sur les lois nationales de l’État tiers pour déterminer qu’il assure un niveau de protection substantiellement équivalent à celui de l’Union en matière de droits et libertés fondamentales.
Néanmoins, ces mesures sont aujourd’hui en nombre restreint. En effet, il n’existe pour le moment de mesures d’adéquation que pour les pays suivants : Andorre, Argentine, Canada (accord partiel), les îles Féroé, Guernesey, Israël, l’île du Man, Japon, Jersey, Nouvelle-Zélande, Suisse et Uruguay.
Il faudrait donc que la Commission européenne et les États-Unis renégocient un nouvel accord.
Ainsi, même si les clauses contractuelles types sont validées par le règlement[15] de nombreuses questions restent en suspens tel que leur articulation en pratique par le responsable de traitement, le destinataire des données et le sous-traitant qui s’engagent à mettre en place un traitement en conformité avec le règlement. Ainsi que la définition des notions d’exportateur et/ou de destinataire de données, qui relèvera des autorités européennes en accord avec les autorités américaines.
La CNIL a d’ores et déjà commencé à répondre à quelques interrogations à la suite de l’invalidation du Privacy Shield. Ainsi elle rappelle que l’article 28.3 du RGPD régit les relations entre le responsable de traitement et les sous-traitants, et que ce dernier ne peut effectuer des transferts vers un autre État que s’il dispose d’une autorisation contractuelle. L’autorité de contrôle précise aussi les cas de dérogation possible au transfert de données personnelles vers les États-Unis ainsi que les modalités entourant l’utilisation des clauses de contrat type ou des BCR.
Et demain : Une souveraineté nationale ?
Cette décision a provoqué de nombreuses réactions, tant du côté européen que du côté américain. Pour l’Autorité de contrôle irlandaise et pour Max Schrems, la réponse de la CJUE est synonyme de victoire pour le respect de la vie privée. La Commissaire européenne Věra Jourová, a d’ailleurs revendiqué son souhait que le gouvernement américain adopte une loi fédérale équivalente au RGPD pour assurer une protection forte contre l’ingérence des autorités de surveillance.
Cependant outre-Atlantique, le Secrétaire au Commerce, Wilbur Ross a fait part de sa déception quant à la décision de la Cour, et déclare que le Département du Commerce continuera à se fonder sur l’accord Privacy Shield, de même que les parties qui sont liées contractuellement à l’accord. La Computer & Communications Industry Association (organisation réunissant notamment Google, Samsung et Amazon) souligne quant à elle, l’inquiétude et le flou juridique d’une telle décision sur les grands groupes américains.
Même si l’arrêt ne concerne pas les données dites nécessaires telles que le contenu de courriel ou la réservation d’un voyage, la transmission de données est indispensable à la continuité de l’économie numérique. Il est donc urgent que les dirigeants politiques européens et américains trouvent ensemble, un accord conforme aux droits de l’Union. Le commissaire européen à la Justice, Didier Reynders a d’ailleurs déclaré travailler sur des outils afin que la protection des données personnelles soit assurée lors de leur transfert outre-Atlantique.
Par cette décision, le but n’est pas que l’Union européenne s’isole du reste du monde car cela aurait des conséquences négatives sur la compétitivité des entreprises européennes, et cela empêcherait la bonne collaboration internationale sur des sujets sensibles tels que la lutte contre le cybercrime, le terrorisme ou encore la crise sanitaire du Covid-19.
La décision de la CJUE est une sorte de rappel à l’ordre des autorités de contrôle jugées trop indulgentes dans la mise en œuvre du RGPD. La CNIL a d’ailleurs fait savoir qu’elle a pris connaissance de l’arrêt [16] et qu‘elle collabore avec les autres autorités européennes afin de mettre en œuvre des mécanismes permettant un transfert en adéquation avec la décision rendue.
Cet arrêt encourage donc les entreprises à reconsidérer le traitement des données personnelles sur le sol européen, dans le but de se conformer au RGPD. Mais surtout, afin de s’affranchir de la domination états-unienne et peut-être affirmer une souveraineté numérique européenne.
Base juridique :
· Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
o Articles 3 ; 26 ; 28
· Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit « RGPD »
o Considérants 6 ; 10 ;101 ; 103 ; 107 à 109 ; 114 ; 116 ; 141
o Articles 2 ; 4 ; 23 ; 45 ;46 ;49 ; 51 ; 57 ; 58 ; 64 ; 77 ; 78 ; 94
· Décision CJUE, Aff. C-311/18, Data Protection Commissioner contre Facebook Ireland Ltd et Schrems
· Décision CPT :
Considérant 11
Articles 1 ; 3 ; 4 ; 5 ; 6 ; 8 ; 9 ; 12
· Décision BPD :
Considérants 68 ; 69 ; 76 ; 77 ; 109 ; 112 à 116 ; 120 ; 136 ; 140
· Décision de la Commission européenne du 26 juillet 2000 conformément à la directive 95/46/CE relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité »
· Décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE
[1] Point 50 de la décision
[2] Article 51 du RGPD
[3] Article 28 de à la directive 95/46/CE (aujourd’hui considérant 141 et article 77 du RGPD)
[4] Définition à l’article 4 du RGPD
[5] Décision de la Commission européenne du 26 juillet 2000 conformément à la directive 95/46/CE relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » (article 3/25/26)
[6] Arrêt de la CJUE du 6 octobre 2015, « Schrems », C-362/14
[7] Article 78 RGPD
[8] Décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE
[9] Point 89 de la décision
[10] Considérant 114 ; 116 du RGPD et point 105 de la décision
[11] Considérant 107 à 109 du RGPD et point 121 de la décision
[12] Point 196 de la décision
[13] Point 149 de la décision
[14] Article 46 §1 et §2 c) et d) du RGPD
[15] Considérant 81 ; 108 ; 109 ; 168 et article 28 ; 64 du RGPD
[16] Communiqué de la CNIL du 17 juillet 2020
