Le16 juillet 2020, la Cour de Justice de l’Union Européenne invalide la Privacy Shield.
Le CJUE invalide le Privacy Shield
Le jeudi 16 juillet 2020 au matin, la Cour de Justice de l’Union Européenne (CJUE) s’est prononcée sur la validité de deux décisions de la Commission Européenne datant de 2010 et 2016.
La première décision (2010) concernait l’utilisation de Clauses Contractuelles Types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers.
Par la seconde (2016), la Commission Européenne considérait comme adéquat le Privacy Shield américain, et rendait donc possible le transfert de données à caractère personnel sur le territoire des Etats-Unis d’Amérique (les Clauses Contractuelles Types n’étaient alors plus obligatoires pour de tels transferts).
Les prémices
Cette décision n’est pas une première mais fait suite à un long épisode judiciaire.
Les Etats-Unis, soucieux de pouvoir traiter en toute sérénité des données à caractère personnel sur leur territoire, quelque soit leur source, avaient d’abord mis en place le “Safe Harbor”, un cadre posant les bases légales de la protection des données personnelles aux Etats-Unis.
Bien que le choix soit à l’époque laissé aux entreprises américaines de se conformer au “Safe Harbor” (ce n’était pas obligatoire), la Commission Européenne l’avait dans un premier temps validé, en l’an 2000.
La conséquence d’une telle décision (dite “d’adéquation”) prise par la Commission Européenne est importante : c’était la reconnaissance que les mécanismes du Safe Harbor étaient suffisamment protecteurs des données personnelles et des personnes concernées au regard des actes Européens pris en ce sens.
Les premières plaintes
Utilisateur d’un célèbre réseau social Américain depuis 2008, Maximillian Schrems, Autrichien, avait déposé plainte auprès du “Commissaire à la Protection des Données” (autorité Irlandaise) afin que celui-ci enquête sur les méthodes de traitement et de conservation des données de personnes européennes sur le territoire américain.
Suite au refus de l’autorité Irlandaise d’instruire sa plainte (au motif que le Safe Harbor avait été validé une dizaine d’année plus tôt par la Commission Européenne), M. Schrems avait , en 2014, porté l’affaire une première fois devant la Cour de Justice de l’Union Européenne.
La première décision de la CJUE concernant cette affaire (rendue en 2015), à alors fait volé en éclat de Safe Harbor :
– dans une première partie, la Cour avait d’abord estimé que la décision d’adéquation prise par la Commission Européenne n’était pas de nature à empêcher une autorité de protection des données européenne d’auditer les pratiques concernées par ladite décision ;
– dans sa seconde partie, la Cour invalidait totalement la décision d’adéquation du Safe Harbor rendue 15 ans plus tôt.
Ce qu’il faut avoir en tête à ce point est qu’un transfert de données à caractère personnel n’est légal que s’il respecte au moins une des conditions suivantes :
– des Clauses Contractuelles Types (prévues dans une décision datant de 2010) ont été incorporées au contrat liant le fournisseur des données (celui qui les transfert) et le destinataire des données (celui qui les reçoit) ;
– le pays dans lequel les données sont transférées est un pays adéquat (un pays dans lequel le cadre légal de protection des données est considéré comme suffisant par rapport au cadre légal européen).
Cette décision, dite “Schrems I” est à l’origine directe de la naissance du Privacy Shield : la décision validant le Safe Harbor était celle qui permettait aux Etats-Unis d’être considéré comme un territoire “adéquat” et permettait donc aux entreprises américaines de se passer des clauses contractuelles types.
Avec l’invalidation de la décision d’adéquation du Safe Harbor, les Etats-Unis devaient se doter d’un nouvel acte de protection des données susceptible de leur rendre leur statut de “pays adéquat”, au risque sinon de pénaliser leurs entreprises.
Le Privacy Shield a alors remplacé le Safe Harbor et été validé par la Commission Européenne dans une décision d’adéquation de 2016.
Une nouvelle demande, du Commissaire Irlandais cette fois-ci
L’épisode judiciaire n’était cependant pas totalement clos : suite à la décision de la Cour de Justice d’invalider la décision d’adéquation du Safe Harbor, l’autorité de contrôle Irlandaise avait invité M. Schrems à reformuler sa plainte.
Dans cette nouvelle plainte, M. Schrems a maintenu sa demande de suspension / interdiction pour l’avenir des transferts de données personnelles vers les Etats-Unis d’Amérique, au motif que ceux-ci n’offriraient pas une protection suffisante des données à caractère personnel.
La Cour Irlandaise, faisant parvenir à la Cour de Justice de L’UE une demande de décision préjudicielle, a alors soulevé les questions suivantes :
– Les clauses contractuelles types de protection des données de la Commission Européenne (2010/87) sont-elles suffisantes pour garantir le niveau de protection des données personnelles requis par le RGPD (Règlement Général sur la Protection des Données, 2016/679) ?
– Le privacy shield est-il un instrument juridique suffisant pour garantir sur le territoire des Etats-Unis d’Amérique le niveau de protection des données personnelles requis par le RGPD (2016/1250) ?
Les clauses contractuelles types sont suffisantes, le Privacy Shield ne l’est pas
Dans sa décision, la Cour relève que les clauses contractuelles permettent tout d’abord de garantir la protection des données personnelles concernées par un transfert au niveau des acteurs privés liés par les clauses.
La Cour ajoute que bien que ces clauses ne s’appliquent pas aux autorités du pays dans lequel les données sont transférées, celles-ci permettent tout de même d’assurer un niveau de protection suffisant, puisqu’elles prévoient la possibilité pour l’exportateur des données de suspendre le transfert des données ou résilier le contrat lorsque le destinataire des transferts est éventuellement dans l’incapacité de se conformer aux clauses de protection des données.
La décision d’adéquation du Privacy Shield est, quand à elle invalidée au regard des exigences découlant du RGPD et de la Charte des Droits Fondamentaux de l’Union Européenne.
Il est possible, pour des exigences de sécurité nationale par exemple, que des autorités aient accès aux données personnelles transférées vers leurs pays. La Cour estime cependant que la législation américaine est trop prompte à provoquer de potentiels abus dans l’accès et l’utilisation qui peut être faite des données par les autorités américaines, en que qu’elle ne prévoit pas suffisamment de limitations à l’accès et l’utilisation des données ni ne prévoit qu’un accès ou une utilisation des données doive se faire d’une manière strictement proportionnée.
Enfin, la Cour relève que les personnes concernées n’ont pas véritablement de droit opposable devant les tribunaux américains, le Privacy Shield prévoyant un médiateur non indépendant et en incapacité de prendre de décisions contraignantes à l’égard des autorités et services de renseignements américains.
Et ensuite ? (mis à jour le 22/09/2020)
L’invalidation du privacy Shield a pour conséquence de remettre en cause les transferts entre organismes privés de données à caractère personnel vers les Etats-Unis d’Amérique, lorsque ces transferts ne sont pas basés sur des clauses contractuelles types.
Concrètement, un organisme privé qui transférerait vers les Etats-Unis des données à caractère personnel, sans avoir conclu de clause contractuelle type, ou sans que le destinataire ne soit astreint à des “Règles d’Entreprise Contraignantes” (“Binding Corporate Rules” ou “BCR”) réalise un transfert de données illégal au regard du RGPD.
Si de gros éditeurs américains ont déjà mis à jour leurs contrats, Conditions Générales d’Utilisation et de Vente, etc. tous ne sont pas aux normes, et certaines conditions faisant parfois reposer toute la responsabilité du transfert sur l’émetteur semblent difficilement acceptables.
Les GAFAM sont de plus directement impactés par cette décision, comme Microsoft en France, cible d’une pétition devant le Sénat réclamant une enquête sur les conditions dans lesquelles il héberge le Health Data Hub, la plateforme des données de santé des français.