La CJUE invalide le Privacy Shield

Le16 juillet 2020, la Cour de Justice de l’Union EuropĂ©enne invalide la Privacy Shield.

Le CJUE invalide le Privacy Shield

Le jeudi 16 juillet 2020 au matin, la Cour de Justice de l’Union EuropĂ©enne (CJUE) s’est prononcĂ©e sur la validitĂ© de deux dĂ©cisions de la Commission EuropĂ©enne datant de 2010 et 2016.

La première dĂ©cision (2010) concernait l’utilisation de Clauses Contractuelles Types pour le transfert de donnĂ©es Ă  caractère personnel vers des sous-traitants Ă©tablis dans des pays tiers.

Par la seconde (2016), la Commission EuropĂ©enne considĂ©rait comme adĂ©quat le Privacy Shield amĂ©ricain, et rendait donc possible le transfert de donnĂ©es Ă  caractère personnel sur le territoire des Etats-Unis d’AmĂ©rique (les Clauses Contractuelles Types n’Ă©taient alors plus obligatoires pour de tels transferts).

Les prémices

Cette dĂ©cision n’est pas une première mais fait suite Ă  un long Ă©pisode judiciaire.

Les Etats-Unis, soucieux de pouvoir traiter en toute sĂ©rĂ©nitĂ© des donnĂ©es Ă  caractère personnel sur leur territoire, quelque soit leur source, avaient d’abord mis en place le “Safe Harbor”, un cadre posant les bases lĂ©gales de la protection des donnĂ©es personnelles aux Etats-Unis.

Bien que le choix soit Ă  l’Ă©poque laissĂ© aux entreprises amĂ©ricaines de se conformer au “Safe Harbor” (ce n’Ă©tait pas obligatoire), la Commission EuropĂ©enne l’avait dans un premier temps validĂ©, en l’an 2000.

La consĂ©quence d’une telle dĂ©cision (dite “d’adĂ©quation”) prise par la Commission EuropĂ©enne est importante : c’Ă©tait la reconnaissance que les mĂ©canismes du Safe Harbor Ă©taient suffisamment protecteurs des donnĂ©es personnelles et des personnes concernĂ©es au regard des actes EuropĂ©ens pris en ce sens.

Les premières plaintes

Utilisateur d’un cĂ©lèbre rĂ©seau social AmĂ©ricain depuis 2008, Maximillian Schrems, Autrichien, avait dĂ©posĂ© plainte auprès du “Commissaire Ă  la Protection des DonnĂ©es” (autoritĂ© Irlandaise) afin que celui-ci enquĂŞte sur les mĂ©thodes de traitement et de conservation des donnĂ©es de personnes europĂ©ennes sur le territoire amĂ©ricain.

Suite au refus de l’autoritĂ© Irlandaise d’instruire sa plainte (au motif que le Safe Harbor avait Ă©tĂ© validĂ© une dizaine d’annĂ©e plus tĂ´t par la Commission EuropĂ©enne), M. Schrems avait , en 2014, portĂ© l’affaire une première fois devant la Cour de Justice de l’Union EuropĂ©enne.

La première décision de la CJUE concernant cette affaire (rendue en 2015), à alors fait volé en éclat de Safe Harbor :
– dans une première partie, la Cour avait d’abord estimĂ© que la dĂ©cision d’adĂ©quation prise par la Commission EuropĂ©enne n’Ă©tait pas de nature Ă  empĂŞcher une autoritĂ© de protection des donnĂ©es europĂ©enne d’auditer les pratiques concernĂ©es par ladite dĂ©cision ;
– dans sa seconde partie, la Cour invalidait totalement la dĂ©cision d’adĂ©quation du Safe Harbor rendue 15 ans plus tĂ´t.

Ce qu’il faut avoir en tĂŞte Ă  ce point est qu’un transfert de donnĂ©es Ă  caractère personnel n’est lĂ©gal que s’il respecte au moins une des conditions suivantes :
– des Clauses Contractuelles Types (prĂ©vues dans une dĂ©cision datant de 2010) ont Ă©tĂ© incorporĂ©es au contrat liant le fournisseur des donnĂ©es (celui qui les transfert) et le destinataire des donnĂ©es (celui qui les reçoit) ;
– le pays dans lequel les donnĂ©es sont transfĂ©rĂ©es est un pays adĂ©quat (un pays dans lequel le cadre lĂ©gal de protection des donnĂ©es est considĂ©rĂ© comme suffisant par rapport au cadre lĂ©gal europĂ©en).

Cette dĂ©cision, dite “Schrems I” est Ă  l’origine directe de la naissance du Privacy Shield : la dĂ©cision validant le Safe Harbor Ă©tait celle qui permettait aux Etats-Unis d’ĂŞtre considĂ©rĂ© comme un territoire “adĂ©quat” et permettait donc aux entreprises amĂ©ricaines de se passer des clauses contractuelles types.

Avec l’invalidation de la dĂ©cision d’adĂ©quation du Safe Harbor, les Etats-Unis devaient se doter d’un nouvel acte de protection des donnĂ©es susceptible de leur rendre leur statut de “pays adĂ©quat”, au risque sinon de pĂ©naliser leurs entreprises.

Le Privacy Shield a alors remplacĂ© le Safe Harbor et Ă©tĂ© validĂ© par la Commission EuropĂ©enne dans une dĂ©cision d’adĂ©quation de 2016.

Une nouvelle demande, du Commissaire Irlandais cette fois-ci

L’Ă©pisode judiciaire n’Ă©tait cependant pas totalement clos : suite Ă  la dĂ©cision de la Cour de Justice d’invalider la dĂ©cision d’adĂ©quation du Safe Harbor, l’autoritĂ© de contrĂ´le Irlandaise avait invitĂ© M. Schrems Ă  reformuler sa plainte.

Dans cette nouvelle plainte, M. Schrems a maintenu sa demande de suspension / interdiction pour l’avenir des transferts de donnĂ©es personnelles vers les Etats-Unis d’AmĂ©rique, au motif que ceux-ci n’offriraient pas une protection suffisante des donnĂ©es Ă  caractère personnel.

La Cour Irlandaise, faisant parvenir Ă  la Cour de Justice de L’UE une demande de dĂ©cision prĂ©judicielle, a alors soulevĂ© les questions suivantes :
– Les clauses contractuelles types de protection des donnĂ©es de la Commission EuropĂ©enne (2010/87) sont-elles suffisantes pour garantir le niveau de protection des donnĂ©es personnelles requis par le RGPD (Règlement GĂ©nĂ©ral sur la Protection des DonnĂ©es, 2016/679) ?
– Le privacy shield est-il un instrument juridique suffisant pour garantir sur le territoire des Etats-Unis d’AmĂ©rique le niveau de protection des donnĂ©es personnelles requis par le RGPD (2016/1250) ?

Les clauses contractuelles types sont suffisantes, le Privacy Shield ne l’est pas

Dans sa dĂ©cision, la Cour relève que les clauses contractuelles permettent tout d’abord de garantir la protection des donnĂ©es personnelles concernĂ©es par un transfert au niveau des acteurs privĂ©s liĂ©s par les clauses.
La Cour ajoute que bien que ces clauses ne s’appliquent pas aux autoritĂ©s du pays dans lequel les donnĂ©es sont transfĂ©rĂ©es, celles-ci permettent tout de mĂŞme d’assurer un niveau de protection suffisant, puisqu’elles prĂ©voient la possibilitĂ© pour l’exportateur des donnĂ©es de suspendre le transfert des donnĂ©es ou rĂ©silier le contrat lorsque le destinataire des transferts est Ă©ventuellement dans l’incapacitĂ© de se conformer aux clauses de protection des donnĂ©es.

La dĂ©cision d’adĂ©quation du Privacy Shield est, quand Ă  elle invalidĂ©e au regard des exigences dĂ©coulant du RGPD et de la Charte des Droits Fondamentaux de l’Union EuropĂ©enne.
Il est possible, pour des exigences de sĂ©curitĂ© nationale par exemple, que des autoritĂ©s aient accès aux donnĂ©es personnelles transfĂ©rĂ©es vers leurs pays. La Cour estime cependant que la lĂ©gislation amĂ©ricaine est trop prompte Ă  provoquer de potentiels abus dans l’accès et l’utilisation qui peut ĂŞtre faite des donnĂ©es par les autoritĂ©s amĂ©ricaines, en que qu’elle ne prĂ©voit pas suffisamment de limitations Ă  l’accès et l’utilisation des donnĂ©es ni ne prĂ©voit qu’un accès ou une utilisation des donnĂ©es doive se faire d’une manière strictement proportionnĂ©e.

Enfin, la Cour relève que les personnes concernĂ©es n’ont pas vĂ©ritablement de droit opposable devant les tribunaux amĂ©ricains, le Privacy Shield prĂ©voyant un mĂ©diateur non indĂ©pendant et en incapacitĂ© de prendre de dĂ©cisions contraignantes Ă  l’Ă©gard des autoritĂ©s et services de renseignements amĂ©ricains.

Et ensuite ? (mis Ă  jour le 22/09/2020)

L’invalidation du privacy Shield a pour consĂ©quence de remettre en cause les transferts entre organismes privĂ©s de donnĂ©es Ă  caractère personnel vers les Etats-Unis d’AmĂ©rique, lorsque ces transferts ne sont pas basĂ©s sur des clauses contractuelles types.

Concrètement, un organisme privĂ© qui transfĂ©rerait vers les Etats-Unis des donnĂ©es Ă  caractère personnel, sans avoir conclu de clause contractuelle type, ou sans que le destinataire ne soit astreint Ă  des “Règles d’Entreprise Contraignantes” (“Binding Corporate Rules” ou “BCR”) rĂ©alise un transfert de donnĂ©es illĂ©gal au regard du RGPD.

Si de gros Ă©diteurs amĂ©ricains ont dĂ©jĂ  mis Ă  jour leurs contrats, Conditions GĂ©nĂ©rales d’Utilisation et de Vente, etc. tous ne sont pas aux normes, et certaines conditions faisant parfois reposer toute la responsabilitĂ© du transfert sur l’Ă©metteur semblent difficilement acceptables.

Les GAFAM sont de plus directement impactĂ©s par cette dĂ©cision, comme Microsoft en France, cible d’une pĂ©tition devant le SĂ©nat rĂ©clamant une enquĂŞte sur les conditions dans lesquelles il hĂ©berge le Health Data Hub, la plateforme des donnĂ©es de santĂ© des français.