Aujourd'hui, le 16 juillet 2020, la Cour de Justice de l'Union européenne (« CJUE »), dans sa décision Data Protection Commissioner/Maximillian Schrems et Facebook Ireland[1], a invalidé le Privacy Shield, c'est-à-dire le mécanisme permettant de transférer des renseignements personnels à partir de l'Union européenne vers des organisations, situées aux États-Unis, adhérant à ce mécanisme.
Un peu de contexte
La décision d'aujourd'hui fait suite à une précédente. Pour rappel, en 2015, l'arrêt de la CJUE, Schrems 1[2], a invalidé le Safe Harbour qui permettait les transferts de données personnelles depuis l'Union européenne vers les États-Unis.
À la suite de l'arrêt Schrems 1, Monsieur Schrems a dû reformuler sa plainte, qui était devenue sans objet du fait de l'invalidation du Safe Harbour, ce qu'il a fait et ce qui a donné lieu à la décision d'aujourd'hui.
Plus précisément, Monsieur Schrems a demandé de suspendre ou d'interdire, pour l'avenir, les transferts de ses données à caractère personnel depuis l'Union vers les États-Unis se fondant sur le Privacy Shield ainsi que sur les clauses contractuelles types, figurant à l'annexe de la décision 2010/87, applicable aux relations entre responsable de traitement et sous-traitants (« Clauses contractuelles types »), sur lesquelles Facebook Ireland se fonde pour transférer des données vers les Etats Unis.
En effet, rappelons qu'après l'invalidation du Safe Harbour, les autorités européennes et américaines ont négocié un nouvel accord afin de permettre, dans certaines circonstances, les transferts de données personnelles vers les États-Unis. Ce dernier, négocié entre 2015 et 2016 entre l'Union européenne et les États-Unis, avait pour objectif de permettre les transferts de données aux États-Unis si l'organisation qui recevait les données y adhérait. Il s'agissait, en quelque sorte, d'un mécanisme de certification. C'est ainsi que la Commission européenne a adopté la décision (UE) 2016/1250 relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (décision « Privacy Shield »).
C'est ce nouveau mécanisme que Monsieur Schrems a voulu contester. Il a par ailleurs contesté les clauses contractuelles types applicables entre un responsable de traitement et un sous-traitant situé en dehors du territoire de l'Union européenne.
En effet, rappelons que le règlement général à la protection des données (ci-après le « RGPD »)[3] dispose que le transfert des données personnelles vers un pays tiers ne peut, en principe, avoir lieu que si ce pays tiers assure un niveau de protection adéquat à ces données. Ce niveau de protection adéquat est reconnu soit par une décision d'adéquation[4], à l'instar de la décision d'adéquation partielle visant le Canada, soit, en l'absence d'une telle décision, si l'organisation exportant des données personnelles, établi dans l'Union, prévoit des garanties appropriées, résultant notamment de clauses types de protection des données adoptées par la Commission ou des règles d'entreprises contraignantes[5]. Par ailleurs, le RGPD établit, de manière précise, des dérogations dans lesquelles un tel transfert peut avoir lieu en l'absence d'une décision d'adéquation ou de garanties appropriées[6].
Par son arrêt du 16 juillet 2020[7], la Cour constate que l'examen de la décision 2010/87 relative aux clauses contractuelles types au regard de la charte des droits fondamentaux de l'Union européenne (ci-après la « Charte ») ne révèle aucun élément de nature à affecter sa validité. En revanche, elle déclare la décision 2016/1250 relative au Privacy Shield invalide.
Sur la validité sous condition des clauses contractuelles types
Selon la CJUE, la validité des clauses contractuelles types n'est pas remise en cause par le seul fait que les clauses types de protection des données figurant dans celle-ci ne lient pas, en raison de leur caractère contractuel, les autorités du pays tiers vers lequel un transfert des données pourrait être opéré[8].
En revanche, « cette validité dépend, en revanche, du point de savoir si, conformément à l'exigence résultant de l'article 46, paragraphe 1, et de l'article 46, paragraphe 2, sous c), du RGPD, interprétés à la lumière des articles 7, 8 et 47 de la Charte, une telle décision comporte des mécanismes effectifs permettant, en pratique, d'assurer que le niveau de protection requis par le droit de l'Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d'impossibilité de les honorer »[9].
En l'espèce, les clauses contractuelles types n'empêchent nullement l'autorité de contrôle compétente de suspendre ou d'interdire, le cas échéant, un transfert de données à caractère personnel vers un pays tiers fondé sur les clauses types de protection des données figurant à l'annexe de cette décision[10].
En effet, les clauses contractuelles types prévoient « des mécanismes effectifs permettant, en pratique, d'assurer que le transfert vers un pays tiers de données à caractère personnel sur le fondement des clauses types de protection des données figurant à l'annexe de cette décision soit suspendu ou interdit lorsque le destinataire du transfert ne respecte pas lesdites clauses ou se trouve dans l'incapacité de les respecter »[11].
Notons toutefois que ces clauses instaurent une obligation pour l'exportateur des données et le destinataire du transfert de vérifier, au préalable, que ce niveau de protection est respecté dans le pays tiers concerné et qu'elle oblige ce destinataire à informer l'exportateur des données de son éventuelle incapacité de se conformer aux clauses types de protection, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu avec le premier[12].
Est-ce à dire que si les Etats Unis ne respectent pas ces conditions, le transfert de données personnels ne pourraient y avoir lieu? La question reste ouverte.
Sur l'invalidation inconditionnée du Privacy Shield
La CJUE invalide le Privacy Shield d'une part en raison des garanties insuffisantes apportées par le programme de surveillance et d'autre part en raison de l'insuffisance de la protection juridictionnelle accordée aux individus en cas de violation de leurs droits.
Tout d'abord, la CJUE constate que l'accès et l'utilisation aux données personnelles, par les autorités publiques américaines, transférées depuis l'Union ne sont pas encadrées d'une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l'Union, par le principe de proportionnalité. En effet, « les ingérences résultant des programmes de surveillance fondés sur l'article 702 du FISA et sur l'E.O. 12333 ne seraient pas soumises à des exigences assurant, dans le respect du principe de proportionnalité, un niveau de protection substantiellement équivalent à celui garanti par l'article 52, paragraphe 1, seconde phrase, de la Charte »[13].
Plus particulièrement, « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l'accès et l'utilisation, par les autorités publiques américaines, de telles données transférées depuis l'Union vers les États-Unis, et que la Commission a évaluées dans la décision BPD, ne sont pas encadrées d'une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l'Union, à l'article 52, paragraphe 1, seconde phrase, de la Charte »[14].
Ensuite, « il convient de rappeler que le premier alinéa de cet article 47 exige que toute personne dont les droits et les libertés garantis par le droit de l'Union ont été violés ait droit à un recours effectif devant un tribunal dans le respect des conditions prévues à cet article. Aux termes du deuxième alinéa dudit article, toute personne a droit à ce que sa cause soit entendue par un tribunal indépendant et impartial »[15].
En l'espèce, le mécanisme de médiation visé par cette décision ne fournit pas à ces personnes une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l'Union, de nature à assurer tant l'indépendance du médiateur prévu par ce mécanisme que l'existence de normes habilitant ledit médiateur à adopter des décisions contraignantes à l'égard des services de renseignement américains.
Pour toutes les raisons ci-dessus évoquées, la Cour déclare invalide le Privacy Shield, comme elle l'a fait, 3 ans auparavant, avec le Safe Harbour. Dans l'attente d'un nouveau mécanisme de protection permettant les transferts vers les Etats-Unis, à l'image d'une décision d'adéquation, il est donc recommandé de se fonder sur d'autres garanties appropriées, à l'instar des clauses contractuelles types, des règles d'entreprises contraignantes ou des codes de conduite.
[1] CJUE, 16 juillet 2020, aff. C-311/18, Data Protection Commissioner/Maximillian Schrems et Facebook Ireland
[2] CJUE, 6 octobre 2015, aff. C-362/14, Maximillian Schrems contre Data Protection Commissioner. Voir notamment: « Cour(s) magistrale de droit à la protection des données personnelles », J. Uzan-Naulin, R. Perray, Rev. Comm. comm., électr., déc. 2015,
p. 10 à 14.
[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
[4] RGPD, art. 45.
[5] RGPD, art. 46.
[6] RGPD, art. 49.
[7] CJUE, 16 juillet 2020, aff. C-311/18, Data Protection Commissioner/Maximillian Schrems et Facebook Ireland
[8] CJUE, 16 juillet 2020, aff. C-311/18, Data Protection Commissioner/Maximillian Schrems et Facebook Ireland, par. 136.
[9] Ibid., par. 137.
[10] Ibid., par. 146.
[11] CJUE, 16 juillet 2020, aff. C-311/18, Data Protection Commissioner/Maximillian Schrems et Facebook Ireland, par. 148.
[12] Communique de presse n° 91/20.
[13] Ibid., par. 178.
[14] Ibid., par. 185.
[15] Ibid., par. 186.