Par Jean-Philippe SOUYRIS et Paul BERTUCCI
Nouvelle victoire retentissante pour l’activiste autrichien Maximilian Schrems. Ce militant pour la protection des données personnelles avait réussi à faire invalider en 2015 l’accord Safe Harbor, ancêtre du Privacy Shield. Il a une fois de plus convaincu les juges européens d’invalider ce dernier.
Cette décision constitue en revanche un nouveau revers pour la Commission européenne qui estimait que ce mécanisme de transfert de données personnelles des citoyens européens vers des sociétés établies aux Etats-Unis offrait un niveau de protection adéquat, tel qu’exigé par le RGPD [1].
1. Les faits : données personnelles x Privacy Shield x CJUE
Les données personnelles de tout citoyen européen utilisateur du réseau social Facebook sont transférées directement puis traitées aux Etats-Unis via sa filiale irlandaise. M. Schrems avait initialement demandé à l’autorité de protection des données irlandaise d’interdire ces transferts de données, car il estimait que les Etats-Unis n’offraient pas de garanties suffisantes concernant la protection des données personnelles. Cette affaire avait été portée devant un tribunal irlandais puis devant la CJUE, qui avait décidé d’invalider ce premier accord de transfert entre l’UE et les Etats-Unis (Safe Harbor).
Suite à cette décision, la Commission européenne s’était empressée de modifier son modèle de clauses contractuelles types - utilisé ensuite par la holding Facebook et sa filiale irlandaise suite à l’échec de Safe Harbor - puis de négocier un nouvel accord avec l’administration américaine pour une meilleure protection des données, le Privacy Shield.
Estimant que ces clauses contractuelles types et que le Privacy Shield n’assuraient toujours pas une protection suffisante pour les données des utilisateurs européens, M. Schrems s’est une nouvelle fois tourné vers une juridiction irlandaise en y exigeant l’interdiction du transfert de ses données personnelles de l’UE vers les Etats-Unis. Cette dernière a dès lors soumis une question préjudicielle adressée à la CJUE portant sur la validité de ces deux dispositifs.
2. La décision de la CJUE sur le Privacy Shield
Par un arrêt rendu en date du 16 juillet 2020, la CJUE s’est prononcée sur ces deux mécanismes de transfert de données personnelles entre l’UE et les Etats-Unis. Les juges européens ont estimé que les clauses contractuelles types ne révélaient aucun élément de nature à affecter leur validité, mais ont en revanche décidé de déclarer l’accord Privacy Shield invalide en raison d’un niveau de protection insuffisamment élevé.
Concernant les clauses contractuelles types
Dans sa décision, la Cour de justice de l’UE conditionne la validité de ces clauses à la présence de mécanismes permettant d’assurer que le niveau de protection requis et encadré par le RGPD est bien respecté, et qu’en l’absence de tels mécanismes, les transferts de données personnelles doivent être suspendus ou interdits. Ces dispositions ayant été prévues par la Commission européenne, la Cour de justice conclut ainsi que les clauses contractuelles types sont valides.
Elle précise également que les dispositions du RGPD doivent permettre aux personnes dont les données à caractère personnel sont transférées vers les Etats-Unis, de bénéficier d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’UE et au regard de la Charte des droits fondamentaux de l’Union européenne.
Concernant le Privacy Shield
La Cour de justice relève en premier lieu que le transfert de données personnelles à des fins commerciales, susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté par les autorités américaines entraîne de facto l’application du RGPD.
Enfin et pour motiver sa décision d’invalider le Privacy Shield, la CJUE considère que l’accès et l’utilisation des données personnelles réglementées au niveau fédéral, par les autorités publiques américaines, ne répondent pas aux exigences de protection édictées par le RGPD, et notamment au regard du principe de proportionnalité, en ce que les programmes de surveillance américains ne sont pas limités au strict nécessaire.
3. La portée de cette décision
L’arrêt de la CJUE met un nouveau coup d’arrêt à la collaboration entre la Commission européenne et l’administration américaine en matière de protection des données. En l’espace de 5 ans, deux accords de transfert de données personnelles vers les Etats-Unis ont été invalidés coup sur coup par la justice européenne .
Pour maintenir une sécurité juridique pour les sociétés européennes réalisant des transferts de données personnelles à des sociétés américaines, il conviendra de prévoir un nouveau mécanisme de garantie. En effet, le transfert de données personnelles d’utilisateurs européens vers les Etats-Unis peut notamment être encadré par les clauses contractuelles types, dans le respect toutefois des conditions énumérées plus haut par la Cour de justice.
Par ailleurs, cette décision pourrait bien faire bouger les choses outre-Atlantique, dans la mesure où le continent européen constitue un marché de plus en plus important pour les GAFAM [2] et NATU [3]. Il ne serait donc pas surprenant qu’une nouvelle phase de négociation entre l’administration américaine et la Commission européenne soit entamée.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de 20 ans dans la protection des données personnelles et se tient à vos côtés pour vous accompagner dans la conformité de vos traitements de données. Pour en savoir plus, contactez-nous ici.
[1] Article 45 du RGPD
[2] Google, Amazon, Facebook, Apple et Microsoft
[3] Netflix, Airbnb, Tesla et Uber
