L’arrêt "Schrems 2" de la Cour de Justice de l’Union Européenne invalide le système du "Privacy Shield" qui permettait le transfert de données personnelles vers les Etats-Unis et oblige également les responsables de traitement à repenser les transferts de données personnelles et leur encadrement.

A la suite de l’annulation par un arrêt de la Cour de Justice de l’Union Européenne (CJUE) du 6 octobre 2015, du système de l’accord du « Safe Harbor » qui permettait le transfert de données personnelles vers des entreprises situées sur le sol des Etats-Unis, la Commission Européenne et le gouvernement américain avaient conclu un nouvel accord similaire. Il s’agissait du « Privacy Shield ».

Le 16 juillet 2020, la CJUE a rendu une décision très attendue dans le cadre de la procédure fleuve opposant Maximillian Schrems, citoyen autrichien, le réseau social américain Facebook, et l’autorité irlandaise de protection des données à caractère personnel (Data Protection Commissionner ou DPC).

Dans ce nouvel arrêt retentissant, la CJUE, estimant que la législation actuellement en vigueur aux Etats-Unis ne permet pas d’assurer un niveau de protection adéquat pour les personnes concernées européennes dont les données transiteraient par les Etats-Unis, invalide le Privacy Shield, dont l’objet était précisément de pallier ces insuffisances. En outre, si les clauses contractuelles types adoptées par la Commission européenne (décision 2010/87/EU) sont validées sur le principe, leur utilisation pour encadrer des transferts des données vers les Etats-Unis est, de fait, rendue impossible.

Les faits et les questions soulevées.

Maximillian Schrems a déposé le 25 juin 2013 une plainte auprès du Data Protection Commissioner (DPC), demandant à ce que le DPC interdise à Facebook Ireland de transférer aux Etats-Unis les données à caractère personnel le concernant. Au soutien de sa demande, Monsieur Schrems indiquait qu’en raison des lois américaines en vigueur, il ne bénéficiait pas d’un niveau de protection suffisant.

L’article 44 du Règlement général sur la protection des données (RGPD) précise en effet qu’en cas de transfert de données vers un pays tiers, le niveau de protection des personnes physiques garanti par le RGPD ne doit pas être compromis.

Le DPC a rejeté la demande de Monsieur Schrems, au motif que la Commission européenne avait déjà reconnu l’existence d’un niveau de protection adéquat dans sa décision 2000/520 entérinant le dispositif du Safe Harbor. Le DPC estimait ne pouvoir ni se prononcer sur sa validité, ni s’opposer à son application en ordonnant la suspension du transfert.

Rappelons qu’une décision d’adéquation vient reconnaître qu’un pays, une organisation, un territoire ou encore un secteur assure un « niveau de protection adéquat » (RGPD, article 45, 1.). Cette notion est à interpréter à la lumière de la Charte des droits fondamentaux de l’Union européenne (point 94), et comprend notamment le respect du principe de proportionnalité (article 52, 1. de la Charte) et un droit à un recours effectif (article 47 de la Charte).

Monsieur Schrems a saisi en conséquence la Cour Suprême irlandaise, qui a posé deux questions préjudicielles à la CJUE. Ceci a conduit la Cour à une première décision (CJUE 6 octobre 2015 Maximillian Schrems c. Data Protection Commissioner C-362/14).
La CJUE avait alors estimé que le Safe Harbor ne permettait pas d’assurer un niveau de protection adéquat. En outre, elle rappelait que même si une autorité de contrôle ne peut s’opposer directement à une décision d’adéquation de la Commission européenne, elle a l’obligation de traiter les plaintes des personnes concernées et, le cas échéant, d’engager des procédures pour interroger la CJUE sur la validité de la décision d’adéquation contestée.

Au cours de l’enquête menée par la suite par le DPC, Facebook Ireland a indiqué que la plupart des transferts qu’elle effectue vers les Etats-Unis sont encadrés par des clauses contractuelles types. Monsieur Schrems a alors soutenu que la conclusion de clauses contractuelles types ne pallie pas l’absence de caractère adéquat de la législation américaine, puisque ces clauses n’engagent pas les autorités publiques américaines.

Le DPC suivant ce raisonnement a alors saisi la Cour suprême irlandaise afin de savoir si les clauses contractuelles types devaient également être invalidées.. La Cour suprême irlandaise a, à son tour, saisi la CJUE d’une série de onze questions préjudicielles. Celles-ci portaient tant sur les clauses contractuelles types que sur le Privacy Shield, venu entretemps se substituer au Safe Harbor et auquel Facebook Inc, maison-mère située aux Etats-Unis de la défendresse, avait adhéré.

A travers ces nombreuses questions préjudicielles, la CJUE se prononce sur trois grands points :

 En matière de données à caractère personnel, les résidents européens bénéficient-ils d’un niveau de protection adéquat lorsque leurs données sont traitées aux Etats-Unis ?
 Les engagements pris dans le cadre du Privacy Shield permettent-ils d’atteindre un niveau de protection adéquat ?
 La conclusion de clauses contractuelles types permet-elle d’assurer un niveau de protection adéquat dans le cadre d’un transfert aux Etats-Unis ?

La trop faible protection des personnes concernées européennes aux Etats-Unis.

Selon la CJUE, le niveau de protection accordé aux Etats-Unis aux résidents européens en matière de données à caractère personnel n’est pas adéquat au sens du RGPD.

En effet, pour la Cour, « le droit de ce pays tiers ne prévoit pas les limitations et les garanties nécessaires à l’égard des ingérences autorisées par sa règlementation nationale et n’assure pas non plus une protection juridictionnelle effective contre de telles ingérences » (point 168).

Sont en cause plusieurs programmes de surveillance américains fondés sur l’article 702 du Foreign Intelligence Surveillance Act (FISA) de 1978 et sur l’Executive Order (E.O.) 12333 de 1981, qui permettent à des agences de renseignement de collecter et traiter massivement des données, y compris relatives à des résidents européens. Ces programmes donnent lieu à des ingérences dans les droits des personnes concernées, sans que les cas d’ingérence ne soient clairement encadrés (points 180 à 185) et sans que les personnes concernées ne bénéficient d’un droit de recours effectif contre ces ingérences (points 191 et 192).

Pour les juges de Luxembourg, le niveau de protection instauré par le RGPD, à la lumière des articles 47 et 52 de la Charte des droits fondamentaux de l’Union européenne, n’est donc pas assuré.

A souligner que toutes les entreprises américaines ne sont pas soumises à ces lois. Toutefois, celles-ci concernent a minima, pour l’article 702 du FISA, tout fournisseur de service de communication électronique, défini de manière très large à l’article 50 U.S. Code §1881 (4).

Cette position, peu surprenante, est partagée par la Commission européenne. C’est bien parce que les Etats-Unis ne disposent pas déjà d’un niveau de protection jugé adéquat qu’un dispositif sectoriel d’adéquation a été négocié et mis en œuvre.

Le Privacy Shield, insuffisant pour assurer un niveau de protection adéquat.

Le mécanisme du Privacy Shield était censé totalement pallier l’inadéquation du système juridique américain au regard de la règlementation européenne, et ainsi permettre de transférer des données personnelles librement aux entités adhérant au dispositif. Le Privacy Shield a ajouté des garanties supplémentaires pour les personnes concernées par rapport au dispositif du Safe Harbor. Notamment, la création de l’Ombundsperson devait permettre d’encadrer les ingérences dans les droits des personnes concernées européennes et de les doter d’un droit de recours.

La CJUE estime toutefois que ce mécanisme ne permet pas de pallier les limitations du droit américain.

En effet, selon elle, l’Ombundsperson ne présente pas suffisamment de garanties d’indépendance vis-à-vis du pouvoir exécutif (point 195), et ne peut prendre de décisions contraignantes à l’égard des agences de renseignement, ce qui retire toute effectivité au droit de recours des personnes concernées (point 196).

Le dispositif du Privacy Shield ne permettant pas d’assurer un niveau de protection adéquat, la décision d’adéquation 2016/1250 est annulée par la CJUE et les transferts de données personnelles ne peuvent donc plus être opérés librement vers des organismes situés sur le sol des Etats-Unis même s’il s’agit d’adhérents au Privacy Shield.

Quel niveau de protection en cas de recours aux clauses contractuelles types ?

En l’absence d’une décision d’adéquation, les responsables de traitement et sous-traitants ne peuvent opérer de transferts de données personnelles qu’après avoir prévu des « garanties appropriées » et à la condition « que les personnes concernées disposent de droits opposables et de voies de droit effectives » (RGPD, article 46, 1.).
La conclusion de clauses contractuelles types adoptées par la Commission européenne fait partie des « garanties appropriées » possibles.

La Cour indique que l’article 46 précité, situé dans le chapitre V du RGPD, doit être lu à la lumière de l’article 44 de ce même texte.
Celui-ci dispose notamment que « [toutes] les dispositions [de ce chapitre] sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le [RGPD] ne soit pas compromis ».

La CJUE en conclut qu’un même niveau de protection doit être garanti, « quelle que soit la disposition dudit chapitre sur le fondement de laquelle est effectué un transfert de données à caractère personnel vers un pays tiers » (point 92).

En d’autres termes, pour la Cour, le niveau de protection final dont bénéficie la personne concernée doit être essentiellement similaire, que le transfert soit effectué entre deux pays soumis au RGPD, vers un pays bénéficiant d’une décision d’adéquation, ou suite à la conclusion de clauses contractuelles types (point 96).

Pour contrôler le niveau de protection effectif, il est donc nécessaire de prendre en considération tant les clauses contractuelles conclues que « en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel transférées, les éléments pertinents du système juridique de celui-ci » (point 104).

Ainsi, il faut en déduire que la seule conclusion de clauses contractuelles types ne permet pas de s’assurer de la licéité du transfert au regard du RGPD. Encore faut-il qu’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union soit effectivement assuré (point 105).

Or, comme détaillé ci-avant, pour la CJUE le système juridique américain n’assure pas aux personnes concernées européennes un niveau de protection jugé adéquat, et les clauses contractuelles types ne remédient pas en totalité aux problèmes soulevés.
En effet, les clauses contractuelles types ne sont contraignantes que pour les parties à sa conclusion. Elles n’entraînent aucune obligation pour les autorités du pays tiers. De ce fait, selon l’état du droit et des pratiques dans le pays tiers, elles peuvent ne pas totalement pallier les insuffisances quant à la protection de la personne concernée.

La Cour relève que « tel est le cas, notamment, lorsque le droit de ce pays tiers permet aux autorités publiques de celui-ci des ingérences dans les droits des personnes concernées relatifs à ces données » (point 126).

Les clauses contractuelles types sont-elles valides ?

Le DPC s’est interrogé sur la validité des clauses contractuelles types. En effet, celles-ci ne permettant pas d’assurer un niveau de protection adéquat, la décision de la Commission européenne adoptant ces clauses contractuelles types ne devrait-elle pas à son tour être annulée ?

Toutefois, pour la Cour, les clauses peuvent avoir à être complétées par d’autres mesures comme le prévoit l’article 46 du RGPD, sans que cela n’affecte leur validité (point 128). A l’inverse, une décision d’adéquation vient nécessairement reconnaître que le pays ou l’organisation qui en est l’objet dispose de « l’ensemble des garanties requises » (point 129), notamment puisqu’elle permet d’opérer librement des transferts, sans prévoir de garanties supplémentaires ou d’analyse du niveau de protection offert dans le pays tiers.

La CJUE relève que le choix des clauses contractuelles types pour encadrer un transfert implique une « responsabilisation » de l’exportateur des données personnelles, qui doit vérifier « au cas par cas […] si le droit du pays tiers de destination assure une protection appropriée […] en fournissant, au besoin, des garanties supplémentaires à celles offertes par ces clauses » (point 134).
A défaut de pouvoir mettre en place des mesures supplémentaires suffisantes, l’exportateur des données personnelles, ou, à défaut, l’autorité de contrôle, doivent suspendre le transfert (point 135).

L’exportateur de données personnelles a donc l’obligation de procéder à une analyse effective de la législation et des pratiques en vigueur dans le pays tiers, et l’importateur des données doit l’assister au besoin.

Il n’est plus envisageable de conclure des clauses contractuelles types sans procéder à une telle analyse.

La Cour souligne également que les clauses contractuelles types prévoient un certain nombre de garanties pour la personne concernée, et comprennent des mécanismes permettant en pratique d’assurer que soit le niveau de protection requis soit respecté, soit qu’il soit mis fin au transfert (point 137 à 143). La CJUE en conclut qu’aucun élément ne vient remettre en question la validité des clauses contractuelles types adoptées en 2010 (point 149).

Bien que les clauses contractuelles types restent valides, il est désormais extrêmement compliqué pour une entité européenne d’y recourir pour encadrer un transfert vers les Etats-Unis, même si la CJUE ne se prononce pas explicitement sur ce point.

Le responsable du traitement doit en effet et a minima soit s’assurer que son cocontractant américain ne tombe pas sous le coup des lois de surveillance litigieuses, ce qui est rare en pratique, soit mettre en place des mesures de nature à encadrer lesdites lois de manière satisfaisante, solution a priori impossible pour un acteur privé.

Bouleversement des pratiques et insécurité juridique.

Cet arrêt riche d’enseignement devrait avoir de nombreuses conséquences en pratique.

Tout d’abord, tout transfert vers les Etats-Unis fondé exclusivement sur le Privacy Shield doit dès aujourd’hui être encadré autrement, ou immédiatement suspendu.

Comme vu plus avant, le recours aux clauses contractuelles types est à écarter si le cocontractant est susceptible de tomber sous le coup des lois de surveillances litigieuses ou d’autres lois similaires. Recourir à des règles contraignantes d’entreprises (BCR) ne semble pas davantage possible puisqu’un problème identique se pose, comme le confirme le Comité européen de la protection des données (CEPD) dans une FAQ adoptée le 23 juillet 2020 à la suite de cette décision.

Dans certains cas, la solution pourrait être trouvée à l’article 49 du RGPD. En l’absence de décision d’adéquation et de garanties appropriées, il y est prévu des dérogations permettant les transferts dans des situations spécifiques. Il s’agit notamment des cas où la personne concernée y a donné son consentement, et de ceux où le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et le responsable du traitement.

La CJUE fait explicitement référence à cette possibilité pour justifier l’annulation à effet immédiat du Privacy Shield, sans période de grâce (point 202).

Toutefois, comme souligné par le CEPD dans ses lignes directrices 2/2018 relatives aux dérogations prévues à l’article 49, les dispositions de cet article « doivent être interprétées de manière à ne pas contredire la nature même des dérogations, qui sont des exceptions à la règle qui veut que les données à caractère personnel ne peuvent être transférées vers un pays tiers à moins que ce pays offre un niveau adéquat de protection des données ou que des garanties appropriées soient mises en place » (page 5 des lignes directrices précitées).
En outre, dans sa FAQ précitée, le CEPD estime que des transferts de données effectués sur ces fondements doivent rester occasionnels. Un recours systématique à une dérogation pour justifier des transferts récurrents vers les Etats-Unis pourrait donc être interprété par une autorité de contrôle comme un dévoiement de l’article 49, et mener à une sanction.

Face à tant d’insécurité juridique, cette décision doit amener les entreprises et organismes européens à repenser les transferts de données personnelles vers les Etats-Unis et tous les pays ne bénéficiant pas d’une décision d’adéquation.

Cette décision doit également amener les responsables de traitement à privilégier le recours à dessous-traitants situés au sein de l’Union Européenne ou dans des pays disposant d’une décision d’adéquation.

A défaut, ils devront s’assurer que le pays n’est pas doté de lois permettant à des agences étatiques d’accéder à des données de résidents européens.

Sophie Haddad, Antoine Casanova, Nina Dubois, Carler France