Schrems II : la CJUE invalide le Privacy Shield

Dans un arrêt du 16 juillet 2020 dit « Schrems II »[1], cinq années après avoir invalidé[2] la décision relative au Safe Harbor, la Cour de Justice de l'Union Européenne (« CJUE ») invalide la décision relative au Bouclier de protection des données personnelles UE-Etats-Unis (« Privacy Shield »)[3], tout en (i) confirmant la validité de la décision relative aux clauses contractuelles types[4] (« CCT ») pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers et tout en (ii) invitant les exportateurs de données de l'UE à prendre des garanties supplémentaires lorsque l'accès des autorités publiques aux données à caractère personnel n'est pas équilibré selon le référentiel de l'UE.

Pour mémoire, le Privacy Shield est un mécanisme d'auto-certification, par lequel des organisations américaines s'engagent à respecter des principes de protection des données personnelles publiés par le ministère américain du commerce (tels que, offrir aux personnes concernées la possibilité de décider si leurs informations à caractère personnel peuvent être divulguées à une tierce personne (opposition), ou encore prendre des mesures raisonnables et adéquates pour éviter la perte, l'utilisation abusive, la consultation illicite, la divulgation, la modification et la destruction de ces données). Ce mécanisme avait été reconnu par la Commission européenne comme offrant un niveau adéquat de protection des données (au sens de l'article 45 du RGPD) et permettant ainsi le transfert de données personnelles de l'Union européenne vers les entreprises établies aux Etats-Unis.

Au cas d'espèce, Maximilien Schrems, un avocat Autrichien et défenseur de la protection des données de longue date, avait sollicité l'interdiction ou la suspension du transfert de ses données personnelles par Facebook Ireland à Facebook Inc. établi aux Etats Unis, au motif que ce pays tiers n'assurait pas un niveau de protection adéquat des données personnelles. Celui-ci affirmait que "la loi et la pratique" aux États-Unis ne protégeaient pas adéquatement les données personnelles détenues sur son territoire contre l'accès des autorités publiques et qu'il n'y avait pas de recours efficace pour les personnes concernées européennes. Face à cette demande, la High Court d'Irlande a sursis à statuer et posé plusieurs questions préjudicielles à la CJUE, dont celles de la validité du Privacy Shield d'une part et des CCT d'autre part.

Décision

La CJUE précise qu'afin de satisfaire à l'exigence d'un niveau de protection adéquat, un pays tiers doit assurer, en vertu de son droit national ou de ses engagements internationaux, un niveau de protection des droits fondamentaux essentiellement équivalent à celui garanti dans l'ordre juridique de l'UE.

Dans le cas des Etats-Unis et du Privacy Shield, la CJUE se penche sur les programmes de surveillance PRISME et UPSTREAM (section 702 FISA, Executive Order 12333[178] et Presidential Policy Directive PPD-28). En effet, en vertu de ces lois américaines, l'adhésion aux principes de protection des données personnelles peut être limitée « dans la mesure nécessaire pour répondre aux exigences de sécurité nationale, d'intérêt public ou de maintien de l'ordre public ».

En ce qui concerne cette dérogation à l'adhésion aux principes de protection des données personnelles, la CJUE considère que :

- D'une part le droit des États-Unis ne prévoit pas les limitations et les garanties nécessaires requises. En effet, les dispositifs américains en cause ne prévoient aucune limite au pouvoir qu'ils confèrent dans le cadre de la mise en œuvre des programmes de surveillance ni aucune garantie pour les personnes non américaines potentiellement visées par ces programmes.

- D'autre part, le droit des Etats-Unis n'assure pas une protection judiciaire efficace contre ces programmes de surveillance. Par exemple, les personnes concernées ne disposent pas de droits d'action/recours effectif contre les autorités américaines. À cet égard, la CJUE précise que l'introduction d'un médiateur ne peut remédier à ces lacunes dans la mesure où ce mécanisme ne peut être considéré comme un « tribunal » (au sens de l'article 47 de la Charte des droits fondamentaux de l'Union européenne (« Charte de l'UE »)), notamment en ce qui concerne son (in)dépendance vis-à-vis de l'Exécutif.

Ne pouvant assurer un niveau de protection essentiellement équivalent à celui découlant de la Charte de l'UE, le Privacy Shield ne peut garantir un niveau de protection adéquat au titre de l'article 45, paragraphe 2, point a), du RGPD.

Au-delà de la question de la validité du Privacy Shield, se posait également la question de la validité des CCT. En effet, Facebook Ireland soutenait qu'une grande partie des données personnelles était transférée aux Etats-Unis via les CCT, autre mécanisme admis par le RGPD et permettant de transférer des données personnelles vers des pays tiers.

La CJUE confirme la validité des CCT. En effet, la CJUE souligne que la Décision de la Commission relative aux CCT[5] « prévoit des mécanismes efficaces qui, en pratique, garantissent que le transfert vers un pays tiers de données à caractère personnel en vertu des clauses types relatives à la protection des données figurant à l'annexe de cette décision est suspendu ou interdit lorsque le destinataire du transfert ne respecte pas ces clauses ou n'est pas en mesure de les respecter ».

À cet égard, la CJUE relève également que les autorités de contrôle compétentes sont elles-mêmes tenues de suspendre ou d'interdire un transfert de données à caractère personnel vers un pays tiers « lorsqu'elles estiment, compte tenu de toutes les circonstances de ce transfert, que les clauses types de protection des données ne sont pas ou ne peuvent pas être respectées dans ce pays et que la protection des données transférées requise par le droit de l'UE ne peut être assurée par d'autres moyens, lorsque l'exportateur de données établi dans l'UE n'a pas lui-même suspendu ou mis fin à ce transfert ».

En d'autres termes, l'arrêt de la Cour invite également les organisations :

- A évaluer si les CCT offrent une protection suffisante au regard de l'accès des autorités publiques du pays tiers aux données à caractère personnel transférées, et,

- A vérifier si le système juridique en place dans ce pays tiers s'aligne aux critères de référence de l'UE au regard de l'Etat de droit, du respect des droits de l'homme et des libertés fondamentales.

Les organisations doivent donc procéder à une telle évaluation non seulement s'agissant du système juridique américain, mais aussi s'agissant de tout autre système juridique hors UE, en particulier lorsque la sécurité publique est privilégiée par rapport à la protection des droits fondamentaux ou lorsque le système du pays tiers ne prévoit pas de garanties, de recours juridiques efficaces assurant un niveau de protection essentiellement équivalent à celui de l'UE ou plus largement des Etats démocratiques signataires de la convention européenne des droits de l'homme.

Conséquences

Ainsi, tous les responsables du traitement doivent plus que jamais faire preuve d'une extrême prudence pour tous leurs transferts de données à caractère personnel vers des pays tiers en général, et vers les États-Unis en particulier. Le Comité Européen de la Protection des Données[6] (« CEPD » ou « EDPB ») a, d'ores et déjà, publié le 23 Juillet 2020 une FAQ sur la décision de la CJUE.

En résumé :

- Dans la mesure où, à ce jour, tant l'EDPB que les autorités de contrôle des Etats Membres n'ont pas convenu d'un délai de grâce pendant lequel ils n'appliqueront pas la décision de la CJUE (voir position de l'EDPB, dans sa FAQ datée du 23 juillet 2020), tout transfert de données personnelles basé sur le Privacy Shield constituera une violation du RGPD

- En tout état de cause, même si les autorités de contrôle des États membres n'infligent pas d'amendes, les personnes concernées par un tel transfert de données pourront demander une indemnisation du préjudice subi devant les tribunaux.

- Outre le recours aux autres mécanismes de transfert vers des pays tiers qui peuvent toujours être utilisés selon le RGPD (en particulier les CCT et les « Binding Corporate Rules » (« BCR »))[7], les organisations devront également évaluer la situation du pays tiers pour élaborer, le cas échéant, des garanties et des mesures supplémentaires. Comme l'indique l'EDPB dans ses FAQ, « la possibilité de transférer des données à caractère personnel sur la base de CCT (ou de BCR) dépendra du résultat de votre évaluation, qui tiendra compte des circonstances des transferts et des mesures supplémentaires que vous pourriez mettre en place. Les mesures supplémentaires ainsi que les CCT (ou BCR), après une analyse au cas par cas des circonstances entourant le transfert, devront garantir que la législation américaine n'empiète pas sur le niveau de protection adéquat qu'elles garantissent. Si vous arrivez à la conclusion que (...) des garanties appropriées ne seraient pas assurées, vous êtes tenu de suspendre ou de mettre fin au transfert de données à caractère personnel. Toutefois, si vous avez l'intention de continuer à transférer des données, vous devez en informer votre autorité de contrôle compétente » (voir FAQ n°5 et 6).

- Il n'existe à ce jour aucune directive claire de la part de l'EDPB et des autorités de contrôle des États membres concernant les garanties supplémentaires, mais il sera difficile de demander à une organisation quelconque de procéder à une évaluation complète du système juridique du pays tiers, comme le fait la Commission européenne lorsqu'elle évalue le caractère adéquat du niveau de protection en vertu de l'article 45 du RGPD relatif au processus décisionnel en matière d'adéquation. Il convient à cet égard de relever que dans ses FAQ du 23 juillet, l'EDPB a indiqué qu'elle fournirait néanmoins prochainement des orientations supplémentaires (voir FAQ n°10) et que « la CJUE a indiqué que les CCT peuvent toujours, en règle générale, être utilisées pour transférer des données à un pays tiers, mais que la limite fixée par la CJUE en ce qui concerne les transferts vers les États-Unis s'applique à tout pays tiers. Il en va de même pour les BCRs » (voir FAQ n°9).

Ce que les organisations doivent faire sans délai à la suite de cette décision :

- Mettre en place une cartographie des vendeurs/partenaires commerciaux situés aux États-Unis ;

- Parmi ceux-ci, recenser les vendeurs et partenaires commerciaux qui utilisent Privacy Shield comme moyen de transfert pour encadrer les transferts de données personnelles vers les États-Unis ;

- Mettre en place une cartographie des transferts de données transfrontaliers intragroupes de l'UE vers des juridictions non européennes ;

- Qualifier les parties (responsable du traitement/sous-traitant/responsable conjoint du traitement) à un transfert de données transfrontalier de l'UE vers des juridictions non européennes ne présentant pas un niveau de protection adéquat ;

- Mettre en place une cartographie du moyen de transfert le plus approprié selon le RGPD en fonction des parties prenantes et des zones géographiques (comme les CCT ou les BCR)

- Mettre en place de nouveaux mécanismes de transfert de données personnelles au sein des organisations (intra-groupe et vis-à-vis des tiers)

- Lors de l'utilisation de mécanismes de transfert conformes au RGPD (CCT ou BCR), évaluer avec les conseils juridiques la nécessaire mise en œuvre de garanties supplémentaires et de mesures complémentaires visant à atténuer les risques d'accès par les autorités publiques aux données à caractère personnel transférées lorsque le système juridique du pays tiers ne prévoit pas de garanties, de recours juridiques efficaces assurant un niveau de protection essentiellement équivalent à celui de l'UE.

- Vérifier l'étendue des données personnelles transférées vers des pays non-membres de l'UE et "inadéquats", mettre à jour ses politiques et procédures et exploiter le chiffrement des données, l'anonymisation et la pseudonymisation pour éliminer ou gérer les préoccupations spécifiques concernant l'accès par les autorités publiques.

[1] CJUE, Arrêt de la Grande Chambre du 16 juillet 2020, Data Protection Commissionner contre Facebook Ireland Ltd, Maximillian Schrems

[2]CJUE, Arrêt de la Grande Chambre du 6 Octobre 2015, Maximillian Schrems contre Data Protection Commissioner, Affaire C-362/14

[3] Décision d'exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis

[4] Les Clauses Contractuelles Types constituent l'un des mécanismes prévus par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») afin d'encadrer les transferts de données personnelles vers des pays tiers à l'Espace Economique Européen. Elles doivent être adoptées par une décision de la Commission européenne. La décision applicable à ce jour est la Décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d'exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016

[5] Décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d'exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016

[6] Le CEPD regroupe l'ensemble des autorités de protection des données des Etats membres, le Contrôleur européen à la protection des données (ou « EDPS ») et le représentant de la Commission Européenne

[7] La certification et le code de conduite ne sont pas encore opérationnels