1. La Cour de Justice de l’Union européenne invalide le Privacy Shield

L’histoire se répète entre l’Europe et les Etats-Unis !

Le jeudi 16 juillet 2020, la Cour de Justice de l’Union européenne (CJUE) a annulé l’accord dit Privacy Shield (bouclier de protection des données) autorisant les entreprises à transférer légalement les données personnelles de citoyens européens vers les Etats-Unis.

Un peu d’histoire pour se rafraîchir la mémoire. Tout commence avec l’adoption, en 2000, de la Décision Safe Harbor par la Commission européenne qui concluait à l’époque que le transfert de données personnelles de l’Europe vers les Etats-Unis était possible, en raison de la mise en œuvre de garanties suffisantes pour la protection de la vie privée.

Très controversée, cette décision avait fait l’objet d’une question préjudicielle auprès de la CJUE à la suite de plusieurs plaintes déposées par Max Schrems, un citoyen européen, contre Facebook. Ce dernier estimait que les données personnelles des européens n’étaient pas protégées lorsqu’elles étaient stockées aux Etats-Unis.

Dans une décision du 6 octobre 2015, la CJUE avait invalidé le Safe Harbor pour non-conformité au droit européen, notamment en raison des recours jugés beaucoup trop faibles pour les citoyens européens lésés. LA CJUE avait également reconnu que les programmes de surveillance de masse des Etats-Unis étaient incompatibles avec une protection adéquate des droits des citoyens européens.

Voulant rapidement fixer un nouveau cadre juridique permettant le transfert des données personnelles vers les Etats-Unis, la Commission européenne et le Département du commerce américain avaient adopté le 12 juillet 2016, le dispositif du Privacy Shield venant remplacer la Décision Safe Harbor. Cet accord relevait d’un mécanisme d’auto-certification pour les entreprises établies aux Etats-Unis et était reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données personnelles transférées par une entité européenne vers des entreprises établies aux Etats-Unis.

Elaboré dans la précipitation, la Commission européenne avait cependant estimé que cet accord reflétait les exigences précédemment formulées par la CJUE. Dans son communiqué de presse, la Commission avait présenté les nouvelles garanties imposées par le Privacy Shield, à savoir des obligations renforcées sur le traitement des données et les moyens mis en œuvres pour garantir le droit des personnes, l’accès conditionné et contrôlé aux données par les agences de renseignement américaines, et la mise en place de recours efficaces pour les citoyens européens lésés.

En pratique, certains points de conformité restaient préoccupants et les militants à la protection des données personnelles ont, dès son entrée en vigueur, attaqué le Privacy Shield.

Dès lors, aux mêmes maux, les mêmes remèdes ! Interrogée à l’occasion d’un litige opposant de nouveau Max Schrems et le Commissaire à la protection des données personnelles de Facebook Irlande Ltd., la CJUE a rendu une décision préjudicielle annulant la décision d’exécution (UE) 2016/1250 relative à l’adéquation du Privacy Shield.

Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la règlementation des Etats-Unis et portant sur l’accès et l’utilisation par les autorités américaines de telles données ne répondent pas aux exigences substantiellement équivalentes à celles requises par le droit de l’Union s’agissant du principe de proportionnalité. Par ailleurs, la Cour estime que le mécanisme de médiation prévu par le Privacy Shield ne fournit pas de voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union s’agissant notamment du principe d’indépendance.

Concrètement, l’annulation du bouclier de protection des données signifie que les données personnelles des citoyens européens ne pourront plus être envoyées et traitées par des entreprises dont les serveurs se trouvent sur le sol américain. Aujourd’hui les Etats-Unis ne sont pas un pays de niveau de protection adéquat conformément au RGPD et les chances pour que l’Union européenne négocie un nouvel accord semblent minces.

Dès lors, les entreprises ont deux options : soit elles rapatrient sur le sol européen l’ensemble du traitement des données personnelles visées par la décision, soit elles prennent le risque d’être en infraction avec le RGPD.

Pour rappel, le transfert de données au mépris des règles du RGPD fait partie des sanctions les plus élevées du RGPD à savoir 4% du CA mondial de l’entreprise ou 20 millions d’euros, la plus importante des deux sommes étant retenue.

2. Le recours aux clauses contractuelles type validées par la CJUE

Pour se mettre en conformité, les entreprises qui disposent de serveurs sur le sol américain seront contraintes de recourir aux instruments juridiques et exceptions prévues par le RGPD. Tandis que les Binding Corporate Rules (BCR) ou les clauses contractuelles types (CCT) relèvent de la pratique des entreprises, le recours aux exceptions (consentement, traitement nécessaire, …) prévues à l’article 49 du RGPD est plus rare.

Dans sa décision du 16 juillet 2020, la CJUE a d’ailleurs validé la décision 2010/87/UE de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers.

La Cour précise que cette validité dépend du fait de savoir si ladite décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation ou d’impossibilité de les honorer. Dès lors, le respect de ces exigences parait improbable en ce qui concerne les Etats-Unis, eu égard au réquisitoire féroce exposé par la CJUE et au caractère obsolète des modèles de CCT proposés par la Commission européenne.

Auteur 

Eric Barbry, Avocat associé

Sabina Topcagic, Juriste IT