L’invalidation du « Privacy Shield » par la CJUE
Par un arrêt du 16 juillet 2020 « Schrems II », la Cour de Justice de l’Union Européenne (la CJUE) a notamment invalidé la décision d’exécution 2016/1250 du 12 juillet 2016 par laquelle la Commission européenne avait reconnu que le dispositif de « Privacy Shield » offrait un niveau de protection adéquat aux données personnelles transférées depuis l’Union Européenne à des entreprises établies aux Etats-Unis.
Qu’est-ce que le « Privacy Shield » ?
Le droit de l’Union Européenne (UE) sur la protection des données personnelles (ancienne directive 95/46 remplacée depuis mai 2016 par le RGPD) interdit par principe les transferts de données hors de l’UE. Par exception, les transferts de données vers des pays tiers sont possibles si l’entité exportatrice de données assure un niveau de protection adéquat aux données transférées.
Du point de vue de l’UE, les Etats-Unis n’offrent pas un niveau de protection adéquat notamment car il n’existe pas de législation fédérale offrant un cadre unifié à la protection des données personnelles.
Afin de faciliter les transferts de données vers les Etats-Unis, la Commission Européenne avait conclu en juillet 2000 un premier accord dit « Safe Harbor » avec le Department of Commerce du gouvernement des Etats-Unis, destiné à assurer une protection des données transférées aux Etats-Unis équivalente à celle de l’UE.
A la suite de l’invalidation du « Safe Harbor » par l’arrêt « Shrems I » de la CJUE en 2015, la Commission Européenne et le gouvernement américain avaient conclu un nouvel accord sur la protection des données appelé le « Privacy Shield » qui avait suscité, dès l’origine, de nombreuses critiques.
Les transferts de données vers les Etats-Unis étaient donc libres lorsqu’ils étaient effectués vers des entreprises qui avaient auto-certifié leur adhésion aux principes de protection des données détaillés dans le « Privacy Shield ». En revanche, les transferts de données vers d’autres entités (entreprises non certifiées ou ne relevant pas de la compétence du Department of Commerce) devaient être encadrés par d’autres outils de transfert tels que les clauses contractuelles types adoptées par la Commission Européenne ou les règles d’entreprises contraignantes (pour les transferts intra-groupe) pour n’en citer que deux.
Pourquoi le « Privacy Shield » a-t-il été invalidé ?
Les faits
L’invalidation du « Safe Harbor » et du « Privacy Shield » résulte de deux plaintes déposées auprès de l’autorité de contrôle irlandaise (the Data Protection Commissioner ou « DPC ») par M. Maximillian Schrems à l’encontre de la société Facebook Ireland.
Compte tenu de l’arrêt « Shrems » de 2015 et de l’enquête subséquente du DPC qui avait révélé que Facebook Ireland fondait ses transferts de données sur un accord conclu avec Facebook Inc., le DPC avait invité M. Schrems à reformuler sa plainte initiale. Cette plainte demandait, en substance, de suspendre ou d’interdire les transferts de données aux Etats-Unis fondés sur cet accord.
La Haute Cour d’Irlande, elle-même saisie par le DPC, a sursis à statuer pour interroger la CJUE notamment sur le niveau de protection requis dans des pays tiers pour les transferts fondés sur les clauses contractuelles types et le caractère adéquat de la protection assurée par les clauses contractuelles types et par le « Privacy Shield », compte tenu de l’état du droit aux Etats-Unis.
La décision de la CJUE
Aux termes de cet arrêt, la CJUE considère tout d’abord que le niveau de protection dans des pays tiers pour les transferts fondés sur les clauses contractuelles types est considéré comme adéquat lorsqu’il est substantiellement équivalent à celui garanti au sein de l’UE (i.e. lorsque les personnes concernées bénéficient de garanties appropriées, de droits opposables et de voies de droit effectives). Dans l’évaluation du niveau de protection, la Cour estime ainsi qu’il convient de prendre en compte les stipulations contractuelles mais également les éléments pertinents du système juridique du pays destinataire (en particulier l’éventuel accès des autorités publiques à ces données).
La Cour estime ensuite que le seul fait que les autorités publiques des Etats tiers ne soient pas liées par les clauses contractuelles types n’est pas de nature à remettre en cause la validité générale de cet outil de transfert. Elle constate également que ces clauses types prévoient des mécanismes effectifs permettant en pratique de suspendre ou d’interdire les transferts lorsque l’entité destinataire ne respecte pas ou est dans l’incapacité de respecter ces clauses, si bien que leur validité n’est pas remise en cause. En revanche, en fonction de l’état du droit de l’Etat destinataire, il appartient à l’exportateur de données d’adopter des mesures complémentaires afin d’assurer le respect d’un niveau de protection adéquat.
Incidemment, la CJUE était également amenée à apprécier la validité du « Privacy Shield », lequel constate, de manière contraignante, le caractère adéquat du niveau de protection assuré par les Etats-Unis. Sur ce point, la Cour relève que l’accès des autorités publiques aux données personnelles des personnes non-américaines ne fait l’objet d’aucune limitation et ne prévoit aucune garantie pour les personnes concernées (pas de droits opposables aux autorités américaines ni de possibilité effective de recours juridictionnel).
Au regard de l’ensemble de ces constatations, la Cour estime que les Etats-Unis n’assurent pas un niveau de protection adéquat et invalide donc entièrement, à effet immédiat, la décision de la Commission Européenne sur le « Privacy Shield ».
Quelles conséquences pratiques pour les entreprises ?
La seule adhésion au Privacy Shield ne suffit plus à rendre légal le transfert de données
La conséquence première de cette décision est que la seule adhésion au « Privacy Shield » des entités américaines destinataires ne suffit plus à rendre légal le transfert de données depuis l’Union Européenne.
Les entités exportatrices de données doivent donc obligatoirement, dès à présent, recourir aux autres outils d’encadrement de transfert ou entrer dans le cadre des exceptions prévues par le RGPD. A défaut, elles s’exposent à des sanctions pécuniaires particulièrement sévères (20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial).
Des mesures complémentaires afin d’assurer un niveau de protection adéquat aux données
De plus, le recours aux clauses contractuelles types comme seul outil d’encadrement des transferts de données vers les Etats-Unis est devenu pour le moins incertain. La Cour affirme en effet très clairement que lorsque l’exportateur constate que le droit de l’Etat tiers n’assure pas un niveau de protection suffisant – ce qui est manifestement le cas des Etats-Unis – ce dernier doit prendre des mesures complémentaires afin d’assurer un niveau de protection adéquat aux données transférées.
Quelles mesures ? La Cour ne le précise pas. Les autorités de contrôle européennes dont la CNIL apporteront, il faut l’espérer, rapidement des précisions car à défaut de pouvoir prendre des mesures complémentaires suffisantes, les exportateurs doivent suspendre ou mettre fin au transfert de données sous peine d’être sanctionnés.
Cependant, malgré l’application immédiate de l’arrêt, il est fort probable que les autorités européennes accordent un moratoire aux entreprises pour mettre en conformité leurs transferts aux Etats-Unis.
Par ailleurs, si cette décision ne concerne que les Etats-Unis, elle impacte plus globalement les transferts de données vers des pays ne bénéficiant pas d’une décision d’adéquation tels que la Chine ou la Russie ou tout autre Etat ayant un système national de surveillance intrusif.
Pour l’heure, les entreprises françaises qui transféraient des données aux Etats-Unis sur le fondement du « Privacy Shield » doivent a minima conclure des clauses contractuelles types avec les entités destinataires américaines et… guetter les prochaines publications de la CNIL.