Le 16 juillet 2020, la Cour de justice de l’Union européenne a rendu son troisième arrêt dans l’affaire Schrems (C-311/18, qualifié d’arrêt Schrems II, après l’arrêt Schrems de 2015 – C-362/14 –, en oubliant l’arrêt du 25 janvier 2018, n° C- 498/16). L’affaire qui oppose Facebook à l’Autrichien Maximilian Schrems concerne les transferts de données personnelles de l’Union européenne vers les États-Unis. L’étudiant en droit est désormais devenu le chantre de la protection des données personnelles et anime l’active association noyb (« My Privacy is None of Your Business »). Il avait obtenu en 2015 l’invalidation du Safe Harbor. Son successeur, le Privacy Shield, subit ici le même sort. Cet arrêt sonne comme un nouveau coup de tonnerre.
Quel est le cadre réglementaire du transfert international de données personnelles et en quoi les transferts opérés par Facebook posaient-ils problème ?
Aux termes du Règlement général sur la protection des données (RGPD), le transfert international de données personnelles n’est autorisé que dans des conditions strictes. L’affaire Schrems concerne deux d’entre elles.
D’abord, le transfert est licite s’il se fait entre les opérateurs dans des conditions qui permettent de garantir via des conditions contractuelles types (CCT) la protection des données personnelles. Ensuite, le transfert est licite s’il est établi que le pays de destination assure un niveau adéquat de protection des données. C’est à la Commission européenne qu’il revient, à travers des décisions d’adéquation, de constater qu’un pays tiers assure, en raison de son droit interne ou de ses engagements internationaux, ce niveau. Pour les États-Unis, deux décisions ont été prises par la Commission : le Safe Harbor en 2000, puis à la suite de son invalidation, le Privacy Shield en 2016.
En l’espèce, Maximilian Schrems a demandé à l’autorité de protection des données irlandaises de suspendre le transfert de ses données vers les États-Unis. Il a fait valoir que l’inclusion des CCT dans l’accord de transfert de données conclu par Facebook Ireland, responsable du traitement, et Facebook Inc., le sous-traitant, approuvées par la Commission européenne (décision 2010/87/UE), ne suffisait pas à légitimer le transfert de ses données personnelles vers les États-Unis, dès lors que Facebook Inc. était tenue de mettre les données personnelles de ses utilisateurs à la disposition des autorités américaines, telles que la NSA et le FBI, dans le cadre de programmes de surveillance. Ce faisant, le transfert violerait les articles 7, 8 et 47 de la Charte des droits fondamentaux de l’Union européenne qui garantissent respectivement le droit à la vie privée et familiale, la protection des données personnelles et le droit à une protection juridictionnelle effective. La High Court irlandaise a interrogé la CJUE sur la validité de la décision 2010/87/UE mais aussi sur celle du Privacy Shield.
Pour quelles raisons le Privacy Shield est-il invalidé ?
La législation américaine porte des atteintes excessives à la protection des données personnelles. La CJUE souligne que les programmes de surveillance sont mis en œuvre très largement et ne prévoient pas de garanties pour les personnes non américaines. Précisément, le droit au recours juridictionnel contre les autorités américaines n’est pas assuré. La CJUE a concentré son raisonnement sur le mécanisme du médiateur organisé par le Privacy Shield, mécanisme que la Commission européenne avait jugé capable d’assurer aux personnes concernées un niveau de protection essentiellement équivalent à celui garanti par l’article 47 de la Charte. La CJUE rappelle le droit à un tribunal indépendant et impartial. Or l’indépendance du médiateur par rapport à l’exécutif est discutable et il n’a pas le pouvoir d’adopter des décisions contraignantes pour les services de renseignement.
Quelles sont les conséquences de l’invalidation ?
L’arrêt devrait avoir un impact très important sur le transfert de données de l’UE vers des pays tiers, sans pour autant les paralyser. La Cour a d’ailleurs pris soin d’observer que l’invalidation du Privacy Shield ne crée pas de vide juridique dès lors que le RGPD offre la possibilité d’organiser des transferts internationaux licites en l’absence de décision d’adéquation. Il n’empêche : la Cour dit clairement que le système américain n’est pas conforme à ce qui est exigé par les standards européens. Les nombreuses entreprises qui utilisaient le Privacy Shield vont devoir trouver une nouvelle base au transfert des données en attendant une décision d’adéquation entérinant de nouvelles négociations entre l’Union européenne et les États-Unis. Troisième décision susceptible de connaître le même sort que le Safe Harbor et le Privacy Shield, tant que la législation américaine n’aura pas évolué…
La base du transfert pourra se trouver dans les conventions conclues entre les acteurs du numérique. Mais, là aussi, les perspectives ouvertes par l’arrêt sont limitées.
Qu’en est-il des transferts réalisés sur la base de clauses contractuelles type ?
Indirectement, l’arrêt condamne en l’état actuel de la législation américaine de tels transferts. La CJUE précise en effet qu’il ne suffit pas que les CCT soient respectées ; il faut encore que le système juridique du pays tiers assure le niveau minimal de protection qu’exige le droit de l’Union européenne, en raison du possible accès des autorités publiques de ce pays aux données transférées.
En conséquence, le transfert fait sous couvert de CCT doit être suspendu ou interdit s’il est impossible d’assurer le niveau de protection requis par le droit de l’UE. La décision 2010/87 est conforme à ces exigences dès lors qu’elle impose à l’exportateur de données et au destinataire des données l’obligation de s’assurer, avant tout transfert, du respect de ce niveau de protection et exige du destinataire qu’il informe l’exportateur de son incapacité à le respecter. La légitimité de la décision ne signifie pas pour autant que les entreprises vont pouvoir opérer facilement des transferts en recourant aux CCT. Elles doivent en effet, ainsi que les autorités nationales de protection des données (la CNIL, en France), s’assurer que les pays vers lesquels les données sont transférées offrent des protections suffisantes et équivalentes à celles de l’UE. L’accent est mis sur l’empowerment des entreprises, déjà retenu pour la mise en œuvre du droit au déréférencement (arrêt Google Spain) notamment. Ici, la tâche paraît ardue : l’invalidation du Safe Harbor et du Privacy Shield montre que la Commission européenne a échoué à l’assumer et désormais on la confie à des entités moins bien armées, des entreprises qui ne sont pas nécessairement des acteurs du numérique. Comment pourraient-elles considérer que le transfert vers les États-Unis, plus généralement vers un pays tiers, est licite alors même qu’ont été pointées du doigt les insuffisances de leur législation ? La Cour de justice mentionne sans plus de précision la prise de « mesures supplémentaires ». Le European data protection board (réunion des différentes autorités nationales de protection des données) a d’ores et déjà indiqué se pencher sur le sujet mais on voit mal quels moyens pourraient être mis en œuvre pour immuniser les données à l’égard du FBI et de la NSA.
L’Union européenne, envers et contre tout ?
Le transfert des données personnelles hors Union européenne (demain, le cas de la Grande-Bretagne sera sensible en raison de sa législation en matière de renseignement ; aujourd’hui la question se pose avec acuité pour la Chine dont la législation est bien moins protectrice que celle des États-Unis) a du plomb dans l’aile. Le transfert des données peut cependant se poursuivre mais il ne pourra concerner que des données qui ne permettent pas l’identification de la personne (sur les techniques d’anonymisation des données, le G29, l’ancêtre du European Data Protection Board, a publié un avis en 2014). Pour les données personnelles, l’Union européenne cherche à imposer ses vues. Reste à savoir si l’influence des règles européennes sur le reste du monde (le Brussels effect, décrit par Anu Bradford, Oxford University Press 2020), jouera.