Accueil
Le quotidien du droit en ligne
-A+A
Article

Transfert de données vers les USA : l’arrêt Schrems II

Le très attendu arrêt « Schrems II » de la Cour de justice de l’Union européenne invalide, d’une part, le bouclier de protection des données dit Privacy Shield, mais considère comme valides, d’autre part, les clauses contractuelles types de la Commission européenne.

par Cécile Crichtonle 22 juillet 2020

Contexte : du Safe Harbor au Privacy Shield, en passant par les clauses contractuelles types

Par son remarquable arrêt Schrems, la Cour de justice de l’Union européenne (CJUE) avait invalidé le Safe Harbor (décis. 2000/520/CE, 26 juill. 2000), un accord conclu entre la Commission européenne et les États-Unis qui permettait aux entreprises américaines s’y soumettant de transférer les données personnelles des ressortissants de l’Union vers leur territoire (CJUE 6 oct. 2015, aff. C-362/14, AJDA 2015. 2257, chron. E. Broussy, H. Cassagnabère et C. Gänser ; D. 2016. 111 , note B. Haftel ; ibid. 88, point de vue C. Castets-Renard ; ibid. 2025, obs. L. d’Avout et S. Bollée ; AJ pénal 2015. 601, obs. E. Daoud ; Dalloz IP/IT 2016. 26, étude C. Théard-Jallu, J.-M. Job et S. Mintz ; JAC 2015, n° 29, p. 11, obs. E. Scaramozzino ; JT 2015, n° 180, p. 14, obs. E. Scaramozzino ; RTD eur. 2015. 786, obs. M. Benlolo-Carabot ; ibid. 2017. 361, obs. F. Benoît-Rohmer ; ibid. 365, obs. F. Benoît-Rohmer ).

À la hâte s’est ainsi conclu le 2 février 2016 le controversé Privacy Shield, ou « bouclier de protection des données », destiné à maintenir au plus vite les accords commerciaux tout en se conformant aux exigences de la CJUE afin d’assurer un niveau de protection suffisant des données à caractère personnel transférées aux États-Unis. À grands traits, l’accord repose sur un mécanisme d’autocertification des organisations américaines qui collectent des données à des fins commerciales (v. not. Dalloz IP/IT 2016. 113 ; ibid. 444 , C. Castets-Renard).

Avant l’entrée en vigueur du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD), la directive 95/46/CE du 24 octobre 1995 exigeait déjà que le transfert des données à caractère personnel du territoire de l’Union vers un État tiers devait assurer un niveau de protection adéquat (art. 25 à 28). Les articles 44 à 50 du RGPD prévoient désormais qu’un transfert international de données peut s’effectuer soit par une décision d’adéquation par laquelle l’Union reconnaît qu’un territoire présente un niveau de protection équivalent au sien, soit par des garanties appropriées listées par le RGPD, étant précisé que par exception, le transfert est autorisé dans certaines situations particulières, incluant par exemple des « motifs importants d’intérêt public » dont l’absence d’énumération peut laisser entendre un spectre large de dérogations.

Font partie des « garanties appropriées » les clauses contractuelles types qui présentent des garanties suffisantes et qui sont adoptées par la Commission européenne (dir. 95/46/CE, art. 26, § 4 ; RGPD, art. 46, § 1, c). Les clauses encadrant la relation entre responsable de traitement et sous-traitant figurent dans la décision 2010/87/UE de la Commission du 5 février 2010 (décision CPT), modifiée par la décision d’exécution (UE) 2016/2297 du 16 décembre 2016 à la suite de l’invalidation du Safe Harbor par l’arrêt Schrems.

Maximilian Schrems, activiste défendant la protection des données et fondateur de l’association None of Your Business, avait obtenu l’invalidation du Safe Harbor dans un litige l’opposant à Facebook. L’affaire fut ensuite renvoyée devant la haute cour irlandaise. Le Safe Harbor n’étant plus, Facebook se fonde désormais pour le transfert international de données sur les clauses contractuelles types qui viennent d’être présentées. Or, selon M. Schrems, ce fondement ignore également la protection des données à caractère personnel puisque le droit américain autorise notamment la mise à disposition par les opérateurs de télécommunication aux autorités américaines des données personnelles des ressortissants de l’Union européenne. Cette mise à disposition concerne autant les métadonnées que le contenu des communications. Finalement, la validité même des clauses contractuelles types était en cause dans le cadre de ce litige et la haute cour a décidé de saisir la CJUE d’un renvoi préjudiciel.

Propos liminaires

Il est à relever que la Cour de justice de l’Union européenne juge le litige conformément aux dispositions du RGPD, et non de la directive 95/46/CE (pts 77 à 79). Le RGPD est applicable aux transferts de données à des fins commerciales, « nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État » (pts 80 à 89).

La CJUE rappelle également qu’un transfert international fondé sur les clauses contractuelles types de l’article 46, § 2, c, du RGPD doit assurer le « niveau de protection adéquat » figurant à son article 45, § 2, qui renvoie pour la Cour à une appréciation du niveau de protection des droits et libertés fondamentaux substantiellement équivalent à celui garanti par le RGPD, lu à la lumière de la Charte des droits fondamentaux de l’Union européenne (pts 90 à 105).

Enfin, sauf décision d’adéquation valablement adoptée par la Commission, les autorités de contrôle nationales sont compétentes pour suspendre ou interdire un transfert international de données qui ne respecterait pas un niveau de protection substantiellement équivalent à celui de l’Union, lorsqu’il est fondé sur des clauses contractuelles types (pts 106 à 121).

Sur la validité des clauses contractuelles types (pts 122 à 149)

La Cour juge que les clauses contractuelles types, telles que prévues par la décision 2010/87/UE de la Commission du 5 février 2010, ne présentent aucun élément de nature à entacher leur validité.

Se posait, d’une part, la question de savoir si le fait que ces clauses ne lient pas les autorités des États tiers affectait leur validité (pts 123-136).

Effectivement, les clauses contractuelles types, contraignantes pour le responsable de traitement et ses sous-traitants, ne sont pas nécessairement opposables au pays destinataire des données. N’ayant qu’une valeur contractuelle et donc un effet relatif, elles peuvent tout à fait être ignorées par un État tiers. Tel est le cas, expose la Cour, « lorsque le droit de ce pays tiers permet aux autorités publiques de celui-ci des ingérences dans les droits des personnes concernées relatifs à ces données » (pt 126). Dès lors, il appartient au responsable de traitement et au sous-traitant de prendre les mesures nécessaires pour compenser l’insuffisance de garanties du pays destinataire. Dans l’hypothèse où le droit du pays destinataire impose des mesures contraires aux clauses contractuelles types, il leur appartient également, ainsi qu’aux autorités nationales de contrôle, de mettre un terme au transfert international de données. Le seul fait que les clauses ne lient pas les autorités des États tiers ne permet donc pas d’invalider les clauses contractuelles types.

Se posait, d’autre part, la question de savoir si les mécanismes permettant d’assurer l’effectivité des clauses contractuelles types pouvaient assurer le niveau de protection adéquat requis par le RGPD et la Charte des droits fondamentaux de l’Union européenne (pts 137 à 149).

Sur ce point, la Cour juge que les clauses contractuelles types présentent des mécanismes d’effectivité suffisants, en citant notamment les obligations suivantes :

  • le responsable de traitement et son sous-traitant s’engagent à respecter le RGPD et la Charte des droits fondamentaux de l’UE ;
     
  • les parties doivent au préalable s’assurer que le droit du pays tiers permet d’appliquer pleinement les clauses contractuelles types ;
     
  • le destinataire des données doit informer dans les meilleurs délais de son incapacité à respecter ses engagements, incluant une modification du droit du pays destinataire ;
     
  • si le droit du pays tiers est incompatible avec les clauses types, le responsable de traitement établi dans l’Union doit suspendre le transfert de données et détruire ou restituer les données transférées ainsi que leurs copies ;
     
  • dans ce cas et lorsque sont transférées des données sensibles, les personnes concernées doivent en être informées afin d’exercer pleinement leurs droits qui doivent être assurés ;
     
  • si les parties souhaitent néanmoins poursuivre le transfert, elles en informent l’autorité compétente qui décidera de la poursuite ou de l’interdiction du transfert de données.

En définitive, les clauses contractuelles types ne font que suivre la logique bien connue de responsabilisation des acteurs, ayant trouvé son apogée lors de la consécration du RGPD. Hors du territoire de l’Union, le non-respect de ces clauses pour le destinataire des données restera soumis à l’appréciation du juge du contrat, avec toutes les conséquences que cela implique (par ex. : qualité à agir, effet relatif du contrat, opposabilité de la décision, type de sanction). Au sein du territoire de l’Union, le non-respect de ces clauses sera soit signalé par les parties au contrat dont la sincérité peut s’avérer douteuse, soit révélé à l’issue d’un contrôle ou d’un recours. Néanmoins, ces failles ne doivent pas dissimuler une réalité pratique marquée par une forte circulation des données dont les usages ne sont plus à démontrer. Cloud computing, analyse de données, recherche scientifique ou entraînement d’algorithmes sont autant de techniques qui ne verraient pas le jour si seule la décision d’adéquation de l’article 45 du RGPD était autorisée.

Sur l’invalidation du Privacy Shield (pts 150 à 202)

Les organisations localisées sur le territoire des États-Unis qui adhèrent au Privacy Shield sont réputées garantir un niveau de protection des données adéquat au sens de l’article 45, § 1, du RGPD. Or les décisions d’adéquation prises sur ce fondement sont contraignantes pour les autorités nationales de contrôle, qui ne peuvent en conséquence ni suspendre ni interdire le transfert de données vers une organisation adhérant au Privacy Shield, sauf recours à l’encontre de leur décision devant une juridiction nationale qui saisirait la CJUE d’un renvoi préjudiciel (pts 150 à 158). Au vu des faits de l’espèce, la CJUE est ainsi amenée à se prononcer sur la validité même du Privacy Shield (pts 158 à 162).

Bien que les États-Unis se soient engagés à ce que les organisations adhérant au Privacy Shield assurent un niveau adéquat de protection des données, l’accord prévoit une limitation à cette protection par notamment « les exigences relatives à la sécurité nationale, [à] l’intérêt public et [au] respect de la législation » (pt 164, citant le point 1.5 de l’annexe II). Le considérant 136 du Privacy Shield ajoute que cette ingérence par les autorités publiques américaines au sein des organisations adhérentes est limitée « à ce qui est strictement nécessaire pour atteindre l’objectif légitime visé et qu’il existe une protection juridictionnelle effective contre des ingérences de cette nature » (pt 167).

Reprenant notamment son premier arrêt Schrems, la CJUE estime que l’ingérence des autorités publiques américaines porte nécessairement atteinte aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union (pts 169 à 171), qui ne sont toutefois pas des « prérogatives absolues » (pt 172). Les limitations de ces droits doivent en conséquence être proportionnées, nécessaires et prévues par la loi, en tenant compte des droits effectifs et opposables dont bénéficient les personnes concernées.

En l’espèce, l’appréciation de la Cour de justice de l’Union européenne au regard de ces critères porte sur deux textes. En premier lieu, la Cour juge que l’article 702 du Foreign Intelligence Surveillance Act (FISA) n’assure pas un niveau de protection substantiellement équivalent à celui de l’Union en ce que l’habilitation prévue pour son programme de surveillance aux fins du renseignement extérieur ne comporte aucune limitation ni aucune garantie pour les personnes non américaines visées, dont les droits ne sont pas opposables aux autorités américaines devant les tribunaux (pts 178 à 181). En second lieu, la Cour juge que l’Executive Order 12333 (EO 12333) n’assure pas la protection requise en ce qu’il « ne confère pas non plus de droits opposables aux autorités américaines devant les tribunaux » (pt 182). Ces textes, lus en combinaison avec la PPD-28, portent d’autant plus atteinte aux droits et libertés fondamentaux des personnes concernées qu’ils permettent aux services de renseignement une collecte massive de données sans nécessairement l’associer à une cible spécifique, ni l’encadrer par une surveillance judiciaire (pts 183 et 184). Ainsi, ces textes contreviennent au principe selon lequel « dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui » prévu par l’article 52 de la Charte des droits fondamentaux de l’Union (pt 185).

Les textes américains contreviennent également à l’article 47 de la Charte garantissant le droit à un recours effectif à accéder à un tribunal impartial. Ainsi qu’il l’a été exposé, le Privacy Shield prévoit que les voies de recours offerts aux personnes peuvent être limitées par les programmes de renseignement et de surveillance, ce qui ne permet pas aux personnes concernées d’opposer leurs droits aux autorités américaines devant les tribunaux (pts 186 à 192). Le mécanisme de médiation mis en place par le Privacy Shield ne compense pas cette insuffisance en raison du fait qu’il n’est pas indépendant car devant rendre des comptes au secrétaire d’État américain, et qu’il n’est pas habilité à prendre des décisions contraignantes à l’égard des services de renseignement (pts 187 à 197).

Il résulte de ces éléments que l’article 1er du Privacy Shield est incompatible avec les exigences d’adéquation posées à l’article 45 du RGPD, lu à la lumière de la Charte des droits fondamentaux de l’Union, ce qui entache d’invalidité l’acte en son entier (pts 198 à 201). La Cour ajoute que cette invalidation ne crée pas de vide juridique dans la mesure où il existe d’autres mécanismes, à l’instar des clauses contractuelles types, qui autorisent le transfert international de données (pt 202).