La Cour de justice de l’Union européenne (CJUE) a invalidé le 16 juillet 2020 la décision d’adéquation « Privay Shield » adoptée par la Commission européenne.
- Le rappel des textes
Afin de bien comprendre les tenants et les aboutissants d’une telle décision, il convient de revenir aux dispositions du Règlement Général de la Protection des Données (ci-après RGPD).
Le transfert de données hors Union Européenne est admis si le pays tiers assure un niveau de protection adéquat à ces données.
Comment déterminer si un pays tiers assure un niveau de protection suffisant ?
Un pays tiers assure un niveau de protection suffisant lorsqu’une décision d’adéquation a été prise par la Commission (article 45 du RGPD). Au vu de la législation interne dudit pays ou de ses engagements internationaux, la Commission estime ainsi que ledit pays assure un niveau de protection suffisant.
Le transfert de données vers un pays tiers est également admis lorsque l’exportateur des données établi dans l’UE apporte des « garanties suffisantes » à ce transfert. Des clauses contractuelles types (CCT) adoptées par la Commission Européenne sont signées entre les parties au transfert (article 46 du RGPD).
Si les parties n’entrent dans aucune de ces deux catégories, le transfert de données est toutefois possible si les conditions prévues à l’article 49 du RGPD sont respectées.
- Le contexte
Le litige opposait Monsieur Schems, résident Autrichien à Facebook. En tant qu’utilisateur d’une page Facebook, les données à caractère personnel de Monsieur Schems étaient de facto transférées vers les serveurs appartenant à Facebook, situés aux Etats-Unis.
Celui-ci déposa une plainte auprès de l’autorité de contrôle d’Irlande. Il estimait que les pratiques des Etats-Unis n’offraient pas un niveau de protection suffisant. Sa plainte fut rejetée aux motifs que le niveau de protection adéquat des Etats-Unis avait été reconnu par la Commission dans sa décision 2000/520 du 26 juillet 2000, nommée Safe Harbor.
Les Etats-Unis en tant que pays tiers à l’Union rentraient dans la catégorie prévue à l’article 45 du RGPD.
Le 6 octobre 2015, saisie qu’une question préjudicielle posée par la Haute Cour Irlandaise, la Cour a jugé la décision 2000/520 du 26 juillet 2000 invalide, annulant la décision de l’autorité de contrôle qui avait rejeté la plainte de Monsieur Schrems (décisio Schrems I).
Monsieur Schrems reformule alors sa plainte auprès de l’autorité de contrôle et sollicite la suspension ou l’interdiction pour l’avenir des transferts de données à caractère personnel vers les Etats-Unis, réalisés désormais sur le fondement de clause contractuelle type (décision 2010/87), relevant cette fois de l’article 46.
En parallèle, la Commission adopta la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis, dite « Privacy Shield ».
Cette fois l’autorité de contrôle se tourne vers la Haute Cour d’Irlande aux fins que celle-ci interroge la CJUE sur quatre points :
- Le RGPD est-il applicable aux transferts de données fondés sur les clauses contractuelles types (décision 2010/87) ?
- Quel est le niveau de protection requis par le RGPD dans le cadre d’un tel transfert ?
- Quelles sont les obligations incombant aux autorités de contrôle dans le cadre d’un tel transfert ?
- La décision n° 2010/87 (clauses contractuelles types) et 2016/1250 sont-elles valides ?
- La décision de la CJUE
La CJUE répond, tout d’abord par l’affirmative à l’applicabilité du RGPD à des transferts de données à caractère personnel fondés sur les clauses types de protection figurant dans la décision 2010/87.
De ce fait, les personnes dont les données sont transférées vers un pays tiers doivent bénéficier d’un « niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par ce Règlement, lu à la lumière de la Charte des droits fondamentaux de l’Union européenne. »
Le niveau de protection requis dans le cadre d’un tel transfert doit être substantiellement équivalent à celui garanti au sein de l’Union Européenne par le RGPD.
La CJUE estime également que les autorités de contrôle sont obligées de suspendre ou d’interdire un transfert lorsqu’elles estiment que les clauses type de protection ne sont pas ou ne peuvent pas être respectées dans ce pays.
Sur la validité de la décision n°2010/87, la CJUE constate que des mécanismes effectifs existant dans les clauses contractuelles types permettent d’assurer la suspension ou l’interdiction des transferts de données en cas de violations de ces clauses ou d’une impossibilité d’assurer leurs respects.
Les dites clauses prévoient en effet que :
- l’exportateur des données a l’obligation de vérifier que le niveau de protection est respecté dans le pays tiers ;
- le destinataire des données doit informer l’exportateur de son éventuelle incapacité à se conformer aux clauses types de protection et doit , dans ce cas, suspendre le transfert de données et/ou résilier le contrat signé avec l’exportateur.
La CJUE estime en revanche que la décision 2016-1250 est invalide notamment pour les raisons suivantes :
- l’accès et l’utilisation par les autorités publiques américaines à des fins de sécurité nationale ne respectent pas le principe de proportionnalité puisqu’aucune limitation n’est prévue ;
- aucune garantie n’est prévue s’agissant des personnes non américaines visées ;
- le mécanisme de médiation prévu ne fournit pas des garanties suffisantes notamment au regard de l’indépendance du médiateur.
Au vu de cette invalidation, tous les transferts de données vers les Etats-Unis effectués sur la base du Privacy Shield sont de facto illégaux.
Les transferts des données vers les Etats-Unis devront ainsi être revus, tant sur la base juridique que sur leurs conditions.
Mots clefs : Privacy Shield, CJUE, CNIL, données personnelles, Safe Harbor
Pas de contribution, soyez le premier