Accueil
Le quotidien du droit en ligne
-A+A
Le droit en débats

Privacy Shield : le Luxembourg bloque la route vers les États-Unis

Depuis quelques années, la protection des données personnelles a pris une ampleur qu’elle n’avait jamais connue auparavant auprès des entreprises et du public. L’entrée en vigueur du règlement général sur la protection des données (RGPD) le 25 mai 2018 a été marquante. En effet, les sanctions financières qui sont prévues par le RGPD sont d’un montant inédit dans l’histoire de la protection des données personnelles. Cela a conduit à une publicité et une sensibilisation importante de l’ensemble des personnes concernées par son champ d’application, que ce soient les administrations publiques, les entreprises privées ou les personnes physiques.

Par Romain Boucq le 29 Juillet 2020

Les problématiques de transfert des données personnelles au niveau international ont été au cœur des discussions autour du RGPD, présenté parfois comme une arme « anti-GAFAM ». Le régime mis en place est assez complexe car il propose un difficile équilibre entre des règles impératives (encadrées parfois par des dispositions pénales), des règles de droit international privé et des problématiques de droit international public.

Au-delà de la technicité juridique, le transfert de données personnelles est au cœur d’une lutte que se mènent les États entre eux, de manière quasi invisible, pour réguler l’accès à leur marché et favoriser, parfois, les entreprises nationales. Si le public perçoit ce droit comme une protection supplémentaire de leur vie privée qui leur est offerte, il ne faut pas être dupe d’une autre réalité, géopolitique celle-là, qui permet aux États de réguler et d’encadrer des sources d’information et d’intervention sur des marchés importants compte tenu du poids des applications informatiques dans tous les secteurs de la société.

L’exemple du Privacy Shield en est une parfaite illustration. La plupart des éditeurs de solutions en SAAS, terrain d’application favori du RGPD pour les solutions informatiques, sont américains et leur marché, dans le territoire de l’Union européenne, est particulièrement développé. Ainsi, l’instauration de clause type (CPT), par la décision n° 2010/87/UE du 5 février 2010, modifiée par la décision d’exécution (UE) n° 2016/2297 du 16 décembre 2016) et du « bouclier de protection de données » (BPD), mis en place par la décision d’exécution (UE) n° 2016/1250 du 12 juillet 2016, par la Commission européenne, répondaient à un impératif de simplification des échanges entre les États-Unis et l’Union européenne.

Le BPD a été mis en place par la Commission européenne pour répondre au vide laissé par l’annulation du Safe Harbor , un texte permettant de simplifier les échanges de données entre les États-Unis et l’Union européenne, après avoir constaté que ce pays tiers assurait un niveau de protection adéquat. À l’origine, tout naît d’une procédure judiciaire mise en œuvre par Max Schrems, un jeune autrichien, qui avait constaté que Facebook ne supprimait pas les données des utilisateurs, malgré leur demande. Considérant que cela n’assurait pas le respect des données personnelles, il avait engagé une procédure contre le Safe Harbor – dont il obtint l’annulation le 6 octobre 2015 par la Cour de justice de l’Union européenne (CJUE 6 oct. 2015, aff. C-362/14, Schrems c. Data Protection Commissioner, AJDA 2015. 2257, chron. E. Broussy, H. Cassagnabère et C. Gänser ; D. 2016. 111 , note B. Haftel ; ibid. 88, point de vue C. Castets-Renard ; ibid. 2025, obs. L. d’Avout et S. Bollée ; AJ pénal 2015. 601, obs. E. Daoud ; Dalloz IP/IT 2016. 26, étude C. Théard-Jallu, J.-M. Job et S. Mintz ; JAC 2015, n° 29, p. 11, obs. E. Scaramozzino ; JT 2015, n° 180, p. 14, obs. E. Scaramozzino ; RTD eur. 2015. 786, obs. M. Benlolo-Carabot ; ibid. 2017. 361, obs. F. Benoît-Rohmer ; ibid. 365, obs. F. Benoît-Rohmer ).

Une seconde procédure a été initiée à l’encontre du BPD, par le même demandeur devant les autorités nationales d’Irlande. Il demandait d’interdire à Facebook Irlande de transférer ses données à caractère personnel vers les États-Unis, en faisant valoir que le droit et les pratiques en vigueur dans ce pays ne garantissaient pas une protection suffisante de ses données à caractère personnel conservées sur le territoire américain contre les activités de surveillance qui y étaient pratiquées par les autorités publiques. Dans le cadre du litige, Facebook Irlande a expliqué utiliser les clauses types de la Commission pour assurer la validité de ses transferts transfrontaliers. La juridiction irlandaise s’est donc interrogée sur la portée juridique qu’il fallait donner à l’utilisation de ces clauses types, ainsi que sur le BPD qui ne présentait pas de garanties suffisantes au regard des droits et libertés fondamentaux des personnes concernées. Ces outils de la Commission européenne ayant été remis en question, une question préjudicielle a été posée. La conclusion de cette procédure est, d’une part, la clarification de l’utilisation des clauses types et, d’autre part, l’annulation du BPD par la Cour de justice. Malgré l’affirmation de la Cour sur l’absence de « vide juridique » laissée par cet arrêt, il est nécessaire de clarifier son impact qui ne semble pas aussi anodin que cette dernière l’écrit.

Le champ d’application du RGPD est soumis à une interprétation stricte

La juridiction irlandaise interroge, tout d’abord, la Cour de justice sur le champ d’application du RGPD. L’un des arguments les plus importants de Max Schrems concerne l’usage, par les services de renseignement américain, de données à caractère personnel à des fins de sécurité publique, de défense et de sûreté de l’État. Selon lui, en raison de cet usage potentiel, il faut interdire le transfert de données personnelles vers les États-Unis. Dans la mesure où l’article 4, paragraphe 2, du Traité sur l’Union européenne (TUE) précise que l’Union européenne respecte « les fonctions essentielles de l’État, notamment celles qui ont pour objet d’assurer son intégrité territoriale, de maintenir l’ordre public et de sauvegarder la sécurité nationale. En particulier, la sécurité nationale reste de la seule responsabilité de chaque État membre », la question préjudicielle de la juridiction irlandaise de déterminer si cet usage n’exclut pas l’application du RGPD semble pertinente. La réponse de la Cour de justice est lapidaire : les pays tiers ne sont pas concernés par cette exclusion qui ne s’applique qu’aux États membres. Par ailleurs, le champ d’application du RGPD est d’interprétation stricte. Ainsi, dès lors que n’est pas expressément exclue une catégorie de traitement, le règlement doit être respecté.

Ensuite, la Cour de justice rappelle ce que sont les traitements de données personnelles et met en exergue les règles spécifiques liées au transfert de données avec un pays tiers. Ainsi, les transferts de données se produisant entre Facebook Irlande et Facebook Inc., à savoir un traitement de données personnelles à visée commerciale entre deux personnes morales, entre dans le champ d’application du RGPD, nonobstant l’utilisation éventuelle de ces données par le pays tiers à des fins de sécurité publique, de défense et de sûreté de l’État.

A contrario, ces objectifs, poursuivis par un État membre, pourraient-ils entraîner l’exclusion de la réglementation du RGPD aux modalités de collecte de données personnelles ? Une réponse prudente sur ce point s’impose. En effet, le RGPD s’applique indiscutablement aux personnes publiques, que ce soient un État membre, les institutions, organes ou organismes de l’Union européenne. L’un des objectifs poursuivis, en filigrane, par le RGPD est l’absence de constitution de fichier et d’utilisation de données afin d’écarter le spectre de 1984.

Il faut rappeler que les traitements de données personnelles, au-delà des sanctions prévues par le RGPD, font l’objet d’une protection particulière par le biais de dispositions pénales (C. pén., art. 226-16). Subséquemment, les rôles de « responsable de traitement » et de « sous-traitant » sont des statuts encadrés par des règles strictes, ce qui exclut de facto la possibilité de « choisir » contractuellement son rôle (ce que confirme l’article 28.10 du RGPD).

En pratique, les entreprises font parfois de lourdes confusions sur ces rôles et leurs implications, imaginant à tort que le responsable de traitement est celui qui est « propriétaire » des données. Pourtant, à l’instar du locataire, le responsable de traitement n’est que le dépositaire temporaire des données à caractère personnel de la personne concernée, ce qui implique le respect d’un certain nombre de droits à l’égard de cette dernière, que sont le droit à une information concernant le traitement, le droit d’accès aux données à caractère personnel, le droit d’opposition et à la limitation du traitement, le droit à l’effacement, et enfin le droit à la portabilité. Le droit à l’effacement correspond bien au caractère « temporaire » de l’usage laissé au responsable de traitement par la personne concernée, ce qui n’est pas sans incidence sur des notions comme celle de « fonds de commerce ».

Or ces droits, qui sont garantis par l’article 8 de la Charte des droits fondamentaux de l’Union européenne (la « Charte »), ne doivent pas souffrir de notables exceptions dans le cadre de traitement de données à caractère personnel, mis en œuvre par un État membre, ayant pour finalité la sécurité publique, la défense et la sûreté de l’État. Ainsi, le principe de la minimisation des données reste un principe qui ne peut qu’être respecté par les États membres en ce qui concerne tant la collecte strictement nécessaire des données personnelles que, à tout le moins, la conservation des données le temps nécessaire à leur utilisation au regard de la finalité poursuivie.

Ainsi, l’utilisation de la Charte est de nature à venir tempérer une lecture trop « flexible » du RGPD que pourrait en faire un État membre prompt à se sentir les mains déliées par cet arrêt au regard de ces finalités de sécurité publique, de défense et de sûreté de l’État. Les autorités de contrôle doivent rester vigilantes sur le contrôle à mettre en œuvre sur ce type de traitement et, en dernier recours, on peut compter sur la pertinence de la Cour de justice dans son rôle de gardienne des droits et libertés des citoyens européens pour rappeler les principes fondamentaux de la Charte.

La Charte, socle européen des libertés et droits fondamentaux

La juridiction irlandaise s’interroge sur les outils juridiques à utiliser en qualité d’éléments de comparaison des droits. En effet, pour considérer que le système juridique américain n’apporte pas une protection suffisante aux droits d’un citoyen européen, il faut avant tout déterminer ce que sont ces droits de référence. Parmi toutes les hypothèses suggérées, la Cour de justice n’en choisit qu’un : la Charte. Elle rappelle que le texte de la Convention européenne des droits de l’homme ne constitue pas, tant que l’Union n’y a pas adhéré, un instrument juridique formellement intégré à l’ordre juridique de l’Union européenne. Ce dernier ne peut donc pas être utilisé en tant que tel comme instrument de référence, mais simplement comme outil d’interprétation des droits et libertés énoncés dans la Charte, les notions ayant le même sens et la même portée.

La Cour de justice rappelle que l’interprétation des dispositions du droit de l’Union, en l’absence d’un renvoi exprès au droit national des États membres, ne doit pas être réalisée à l’aune de ces dispositions nationales, même de rang constitutionnel, en particulier, des droits fondamentaux tels que formulés dans leur constitution nationale. Ainsi, l’exercice d’interprétation du RGPD par les autorités de contrôle et les juridictions nationales doit être guidé par les dispositions de la Charte. Ce positionnement supraconstitutionnel de la Charte dans la hiérarchie des textes fondamentaux rappelle le caractère fédéral de l’Union européenne dans la hiérarchie des normes des États membres.

L’article 8 de la Charte est relatif à la protection des données à caractère personnel mais reste très succinct dans sa rédaction. Ainsi, il est énoncé :

« 1. Toute personne a droit à la protection des données à caractère personnel la concernant.

2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.

3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante. »

Interpréter le RGPD au regard de ce texte semble relever de la tautologie. En effet, comment une autorité de contrôle pourrait-elle apprécier la pertinence d’un système juridique d’un pays tiers en utilisant pour base d’interprétation ce texte pour « éclairer » le RGPD ? D’après la lecture de la Cour de justice, le premier point de cet article 8 concerne la garantie d’un exercice de voie de droit effective concernant la protection des données à caractère personnel. Ainsi, ce premier doit être lu à l’aune de l’article 47 de la Charte (droit à un recours effectif et à accéder à un tribunal impartial).

Le second point de cet article 8 trouve son explication et sa mise en œuvre pratique dans le détail des règles du RGPD tout entier. Ce dernier contient vraisemblablement des droits supplémentaires. Ainsi, les droits d’opposition à la limitation des traitements et à la portabilité des données semblent être des droits moins fondamentaux que le droit d’accès et le droit à la rectification (et son corollaire le droit à l’effacement). La Cour de justice nous précisera ultérieurement s’il y a lieu d’établir une distinction entre ces droits, ce qui, à la lettre du texte, semble être le cas.

Dans tous les cas, la lecture de cet article 8 de la Charte, éclairée par cet arrêt, permet de donner des contours à un texte qui restait trop vague pour être utilisable en pratique. En effet, dans la mesure où l’article 33 du RGPD pose comme critère de la notification d’une violation de données à une autorité de contrôle l’existence d’un risque pour les droits et libertés des personnes physiques, une interprétation trop simple de cet article rendait toute notification obligatoire, sans avoir à distinguer l’existence d’un risque… Aujourd’hui, on comprend que ce risque doit être apprécié au regard des autres articles de la Charte et que celui correspondant à l’article 8 est encadré dans une interprétation beaucoup plus restreinte.

L’examen des garanties appropriées à un transfert transfrontalier vers un pays tiers

En l’absence de mesure d’adéquation à l’égard d’un pays tiers, les autorités de contrôle doivent vérifier que les dispositions contractuelles mises en œuvre par les responsables de traitement respectent les exigences posées par le RGPD. Les mesures d’adéquation sont aujourd’hui en nombre restreint et ne concernent que les pays suivants : Andorre, l’Argentine, le Canada (accord partiel), les îles Féroé, Guernesey, Israël, l’île du Man, Japon, Jersey, la Nouvelle-Zélande, la Suisse et l’Uruguay. Des discussions sont en cours avec la Corée du Sud.

La Cour de justice précise que l’exigence, pour déterminer une mesure d’adéquation, n’est pas d’obtenir un niveau de protection identique à celui garanti par l’ordre juridique de l’Union, mais suppose que le pays tiers assure effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des libertés et des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu du RGPD, lu à la lumière de la Charte.

Ainsi, lorsqu’une telle décision d’adéquation est prise par la Commission européenne, les transferts de données n’ont plus à être autorisés par l’autorité de contrôle. Une autre conséquence est le simple respect du RGPD sans autre forme. Ainsi, les relations entre le responsable de traitement, situé sur un État membre et un sous-traitant situé dans un pays tiers sont encadrées contractuellement comme des relations de transfert de données à caractère personnel au sein de l’Union européenne. L’arrêt évoque les CPT car elles ont été mises en œuvre par Facebook Irlande dans l’intervalle entre l’annulation du Safe Harbor et la mise en place du BPD. Ainsi, ces dernières faisaient partie du débat juridique devant la Cour.

À défaut de mesure d’adéquation, les responsables de traitements doivent mettre en œuvre des garanties appropriées pour les transferts de données vers des pays tiers et s’assurer que les personnes concernées disposent de droits opposables et des voies de droit effectives. À cet égard, l’article 46 du RGPD précise qu’elles sont les garanties appropriées permettant d’éluder une intervention de l’autorité de contrôle.

La première est l’existence d’un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics. En l’occurrence, la convention internationale n° 108 de Strasbourg pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981, à laquelle l’ensemble des États membres ont adhéré antérieurement à l’entrée en application du RGPD, est l’un de ces outils. L’article 96 du RGPD prévoit notamment le maintien des accords internationaux auxquels les États membres ont adhéré avant la date du 24 mai 2016 sous réserve de l’absence de modification, de remplacement ou de leur révocation. Cet instrument international répond à ces critères. Par ailleurs, l’Union européenne a sollicité son adhésion à cette convention pour elle-même, ce qui démontre son intérêt. La prochaine modification de cette convention intégrera directement dans ces dispositions l’Union européenne (la convention sera amendée par un protocole n° 223). L’arrêt de la Cour de justice intègre quelques formulations identiques à la prochaine version de la convention, ce qui ne peut être un hasard.

Ainsi, les pays signataires doivent, sous réserve de déclaration particulière que chacun aurait pu faire, être considérés comme bénéficiant de garanties appropriées et bénéficient d’une présomption de recours opposable et de voies de droit effectives dans leur système juridique pour les personnes concernées par le transfert. Or, même s’il s’agit du Conseil de l’Europe, les États-Unis n’ont pas signé cette convention internationale. Cette hypothèse qui pourrait paraître fantaisiste ne l’est pas dans la mesure où des pays aussi éloignés que le Mexique ou le Sénégal ont adhéré à cette convention qui reste ouverte à une adhésion pour des pays non membres du Conseil de l’Europe. Par ailleurs, les États-Unis ont adhéré à la convention n° 112 sur le transfèrement des personnes condamnées, ce qui rend cette situation plausible. Peut-être l’adhésion des États-Unis à cette convention pourrait être une démarche simplificatrice de la situation actuelle… Néanmoins, pour pouvoir y adhérer, les États-Unis devraient revoir l’organisation de la protection des données dans leur système juridique. Ainsi, finalement, la solution reste dans les mains de l’administration américaine car, pour faire cette évolution, nul besoin de s’astreindre à adhérer à une convention internationale.

À défaut de pouvoir utiliser cette exception, l’article 46 prévoit la possibilité de recourir à des clauses types adoptées par la Commission européenne. Il s’agit de l’hypothèse visée par la situation des États-Unis dans cet arrêt dans la mesure où des clauses types ont été rédigées et utilisées par Facebook Irlande. La juridiction irlandaise s’interroge sur la possibilité de remettre en question l’outil mis en place par la Commission européenne. Tout d’abord, il est rappelé que ces clauses types peuvent, lors de leur utilisation par le responsable de traitement, être complétées par d’autres clauses ou garanties dans la mesure où elles ne contredisent pas la portée des clauses types ou les libertés et droits fondamentaux des personnes concernées. Il n’y a pas de principe d’intangibilité des clauses types adoptées par la Commission, ce qui est heureux compte tenu de la rédaction de ces dernières.

Ainsi, dans la mesure où la liberté contractuelle reste à la main des responsables de traitement, l’appréciation des clauses rédigées doit faire l’objet d’une analyse indépendante par l’autorité de contrôle à l’occasion d’une réclamation d’une personne concernée relative à la protection de ses droits et de ses libertés à l’égard d’un traitement de données à caractère personnel la concernant. Cet examen des clauses doit vérifier si les exigences posées par le RGPD sont respectées et, le cas échéant, vérifier que ces clauses peuvent être respectées dans le pays tiers. Dans l’hypothèse où cette réflexion mène au constat que ces clauses ne peuvent pas être respectées dans le pays tiers et que la protection requise pour les données à caractère personnel de la personne concernée ne peut être assurée par d’autres moyens, l’autorité de contrôle doit pouvoir suspendre ou interdire le transfert en toute indépendance.

La responsabilité que la Cour de justice fait peser sur les autorités de contrôle est importante. Ces dernières ne peuvent se retrancher derrière le rôle joué par la Commission européenne dans l’exercice de leur mission. La complexité de cette affaire provient du mélange réalisé entre l’utilisation de clause type (CPT) et l’existence d’une décision, équivalente à une mesure d’adéquation (BPD). Ainsi, la mise en œuvre des clauses types reste sous le contrôle direct des autorités de contrôle alors que, s’il existe une mesure d’adéquation, elles doivent respecter cette dernière. Elles doivent exercer néanmoins un contrôle in concreto afin de vérifier que les dispositions du RGPD sont bien respectées et que le pays tiers n’est pas en mesure de restreindre l’exercice de ces droits. Dans le cas où il existerait un doute, la seule démarche procédurale à mettre en œuvre est de partager ses doutes avec une juridiction nationale qui pourrait alors saisir la Cour de justice d’une question sur la validité de la mesure d’adéquation.

Si ce déroulement procédural est cohérent avec l’état actuel des traités, il apparaît néanmoins que ce contrôle des autorités nationales n’est pas à même de garantir une réelle stabilité juridique sur les mesures d’adéquation de la Commission. L’instabilité créée, bien qu’orientée positivement envers les droits des personnes concernées, est de nature à ralentir les transferts transfrontaliers avec des pays tiers bénéficiant de ces mesures d’adéquation. Les responsables de traitement vont être incités à soumettre au contrôle préalable des autorités de contrôle, toute clause de transfert transfrontalier de données à caractère personnel avec des pays tiers, ce qui pourrait entraîner une perte de confiance dans les régimes juridiques prévus dans le RGPD pour alléger et simplifier ce type de transfert.

Pour justifier ce raisonnement, la Cour de justice énonce, fort à propos au demeurant, que les clauses contractuelles ne lient pas les autorités d’un pays tiers. Ainsi, même s’il existe une volonté de faire rayonner le RGPD au-delà des frontières de l’Union européenne pour faire bénéficier les citoyens européens d’une protection sur leurs données à caractère personnel, quel que soit le lieu où elles sont traitées, il existe un obstacle majeur qui est celui de la souveraineté des États sur leur territoire et sur leurs ressortissants. Dans une matière comme celle de la protection des données, le conflit de lois ne peut être résolu. Il est d’ailleurs étonnant que les clauses types fassent figurer un choix de loi pour la validité des clauses, ce qui revient à choisir un régime juridique pénal dans le cadre de relations internationales. La validité d’un tel choix n’a de sens que pour une juridiction d’un État membre, ce qui ne vise qu’une partie de l’applicabilité potentielle de cette clause… En l’absence d’accord international sur la question, chaque État fait appliquer sa propre réglementation en raison du caractère d’ordre public de la matière.

Pour remédier à ce point les clauses types font généralement obligation au sous-traitant d’informer le responsable de traitement de son incapacité à pouvoir faire respecter les dispositions contractuelles auxquelles il est soumis. Or cela suppose une parfaite connaissance du droit de la protection des données nationale du pays tiers par ledit sous-traitant, ce qui, en toute bonne foi, peut être illusoire tant ce type de réglementation peut être obscure ou mal développée d’un pays à un autre, sans compter l’éventualité où ladite réglementation interdit purement et simplement au sous-traitant de tout acte empêchant son État de pouvoir bénéficier desdites données. Au-delà de ces aspects purement juridiques, le sous-traitant, d’un point de vue commercial, aura-t-il simplement le désir d’informer son cocontractant d’une problématique qu’il ne peut résoudre et qui est de nature à faire cesser sa relation commerciale ?

Ainsi, il s’ensuit que, si la protection des données à caractère personnel présente bien une utilité sociétale indéniable et un contre-pouvoir incident et permanent à toute dérive des États ou des entreprises à l’égard des personnes concernées, il est urgent de pouvoir réaliser une cartographie précise des données qui présentent un réel risque pour les personnes. Le RGPD a déjà entamé cette réflexion en précisant qu’il existe des catégories particulières de données à caractère personnel (RGPD, art. 9) et le fait qu’une notification de violation de données ne doit être réalisée à l’autorité de contrôle qu’en cas de risque pour les droits et libertés des personnes physiques (RGPD, art. 33). Or, dans la mesure où les autorités de contrôle et les responsables de traitement doivent apprécier la mise en œuvre de ces articles au regard de la Charte, une clarification de la part des autorités de contrôle est nécessaire pour éclaircir ces usages qui plongent les praticiens du droit dans de profondes réflexions.

Au terme de l’arrêt, la Cour de justice constate l’absence de création de « vide juridique » laissé par l’annulation du BPD en raison du dispositif de l’article 49 du RGPD. Or il s’agit d’une tautologie dans certaines de ces conditions. En effet, il est précisé qu’en l’absence de mesure d’adéquation ou de garanties appropriées, un transfert de données à caractère personnel vers un pays tiers peut avoir lieu si ce dernier est nécessaire à « l’exécution du contrat conclu dans l’intérêt de la personne concernée entre le responsable de traitement et une autre personne physique ou morale », ce qui revient quasiment à inclure tous les contrats comprenant des traitements de données à caractère personnel à titre d’obligation principale.

De plus, au regard de la rédaction précise de l’article 49, il n’existe une obligation d’informer l’autorité de contrôle que dans le cadre où le transfert n’est pas possible ni sur le fondement d’une mesure d’adéquation ni de garanties appropriées (art. 46), ou encore l’une des exceptions fondées sur l’article 49.1. Est-ce à dire, dans ces conditions, que les articles 45 et 46, faisant bénéficier les transferts transfrontaliers de flux de données d’un régime de protection particulier, plus complexes à mettre en œuvre pour la plupart des situations, n’ont plus d’utilité ?

La Cour de justice, en choisissant cette absence de maintien des effets aux fins d’éviter la création d’un vide juridique, a probablement vidé, de manière indirecte, de sa substance un régime juridique particulièrement important du RGPD dans le cadre des flux transfrontaliers de données avec les pays tiers. Une chose est certaine : les autorités de contrôle nationales ne pourront pas sanctionner, sans créer une insécurité juridique sur l’ensemble des dispositions du RGPD, les responsables de traitement liés contractuellement avec un sous-traitant, qui bénéficiaient de la présomption de garanties apportées par le cadre juridique du Privacy Shield. Aussi imparfaite que pourrait être la rédaction de leur clause de transfert, ne bénéficient-elles pas aujourd’hui d’une présomption de validité par la Cour de justice elle-même sur le fondement de l’article 49 ? Ce n’est pas l’interprétation choisie par le Comité européen de protection des données, néanmoins son analyse juridique publiée le 23 juillet 2020 ne semble pas convaincante et reste susceptible d’être modifiée par la suite.

L’absence de recours effectifs devant un tribunal ne présente pas un niveau de protection adéquat

La décision de la Commission qui a déterminé le régime juridique du BPD est assimilable à une mesure d’adéquation. Si l’appellation de cet acte diffère, c’est notamment car le RGPD n’étant pas encore entré en application au moment de l’entrée en vigueur du BPD, ce terme de « décision d’adéquation » n’appartenait pas au vocabulaire juridique des actes de l’Union. Les développements préalables des différents points de l’arrêt sur le régime juridique des mesures d’adéquation permettent à la Cour de justice de définir le cadre de sa réflexion.

Dans l’étude préalable à la mise en place d’une mesure d’adéquation, la Commission doit motiver quels sont les éléments du système juridique du pays tiers qui lui permet d’assurer effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des libertés et des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu du RGPD, lu à la lumière de la Charte. Max Schrems, à l’initiative de la procédure, argue du fait que les programmes de surveillance américains ne présentent pas des garanties procédurales permettant d’assurer la protection de ses données à caractère personnel.

La juridiction irlandaise, dans le cadre de l’étude de son recours, a produit une étude permettant de comprendre que le quatrième amendement de la Constitution des États-Unis ne pouvait pas être invoqué par les citoyens européens. Or ce texte est un mécanisme juridique essentiel dans la protection des personnes contre l’utilisation abusive ou illégale des programmes de surveillance par les services de renseignements américains. Dans le cadre du BPD, un médiateur a été instauré, indépendant des services de renseignement, afin de rendre directement compte au secrétaire d’État, avec une mission de coordinateur principal de la diplomatie internationale en matière de technologie de l’information. Toutefois, ainsi que la Cour de justice le relève dans son arrêt, ce médiateur ne présente pas de garantie de réelle indépendance ni n’est pourvu de pouvoir lui permettant de prendre des décisions contraignantes à l’égard des services de renseignements.

Dans la mesure où l’accès ou l’utilisation des données à caractère personnel par un tiers, tel qu’une autorité publique, sont considérés par la Cour de justice comme une ingérence dans les droits fondamentaux consacrés aux articles 7 (vie privée et familiale) et 8 (protection des données à caractère personnel) de la Charte, les garanties autour de ces pratiques doivent être proportionnelles à ces pratiques et contenir des possibilités de recours effectifs pour les personnes concernées.

Or des éléments transmis à la Cour ressort clairement que les citoyens européens ne bénéficient d’aucune voie de droit contre les autorités américaines ni devant les juridictions américaines, au sens de l’article 47 de la Charte. Dès lors, que ce soit dans les pouvoirs laissés au médiateur ou l’absence de voies de droit en droit interne américain, les citoyens européens doivent être considérés comme ne bénéficiant d’aucun recours effectif. Dans ce cadre, la décision BPD, qui inscrit le principe du médiateur dans la décision, ne peut qu’être annulée.

Il est impossible de ne pas être en accord avec la décision de la Cour de justice qui démontre encore une fois sa capacité à être un gardien des libertés et droits fondamentaux des citoyens européens. Toutefois, son positionnement concernant l’article 49 et l’absence de création de vide juridique pose question. En effet, dans la mesure où la possibilité de mettre en œuvre un recours effectif pour les citoyens européens n’est pas présente dans un système juridique, cela signifie que le transfert des données à caractère personnel vers ce pays n’est pas possible car il ne présentera pas les garanties appropriées, aussi précis qu’on puisse l’être dans ses stipulations contractuelles, même par le biais de l’utilisation des CPT. Seul un acte de droit international public est susceptible de pallier cette particularité d’un système juridique. En l’occurrence, la balle est dans le camp des États-Unis pour améliorer leur système juridique interne.

Cette question avec les États-Unis est d’autant plus importante que si les textes de référence invoqués par Max Schrems sont nombreux, on n’y trouve pas le « CLOUD Act » du 6 février 2018 qui simplifie l’accès, pour les autorités américaines, aux données détenues dans tous les datacenters détenus par des entreprises américaines, même situés hors du territoire des États-Unis. Ainsi, quelle que soit la position adoptée prochainement par la Commission européenne, les obstacles juridiques que vont rencontrer, au quotidien, les autorités de contrôle, dans l’exercice de leur mission au regard des transferts de données vers des entreprises américaines, seront difficiles à apprécier.

Il est étonnant de constater que, dans l’étude d’une mesure d’adéquation ou de mise en œuvre de garanties appropriées, le système juridique du pays tiers (et les garanties qu’il présente au niveau de la protection des données) fait partie des éléments d’étude alors que cette condition est absente de l’article 49 du RGPD. Dans ce cadre, est-ce à dire que la Cour de justice pourrait considérer que l’absence de recours effectif devant une institution dans un système juridique dans un pays tiers serait sans importance ? Y a-t-il sur ce point une problématique qui n’a pas été identifiée lors de la rédaction du RGPD ? De toute évidence, il paraît improbable que la Cour de justice ait sanctionné le BPD pour l’absence de recours effectif pouvant être mis en œuvre dans le système juridique américain en faisant prévaloir un chemin juridique dans lequel ce point serait superfétatoire.

Devant une telle incertitude, il convient de trouver malgré tout des chemins de traverse permettant, pour les praticiens, de se rassurer quant à la conformité au RGPD, compte tenu des sanctions potentielles qui pourraient intervenir, même si elles restent improbables sans mettre à mal les principes de sécurité juridique.

Les solutions possibles

La première solution pratique à envisager est probablement celle de cesser les relations commerciales avec les entreprises américaines, dont les accords étaient basés sur le BPD, et de les remplacer par des entreprises européennes. Cette solution est radicale et contribue à la lutte géopolitique que se mènent de manière indirecte les États concernant le contrôle des données de leurs citoyens et la localisation de ces dernières. Cette solution n’est pas toujours réalisable en pratique compte tenu du coût engendré et des délais de changement qui peuvent dépasser une année dans certains systèmes d’information complexes.

La seconde solution pratique est celle d’une mention d’information spécifique pour les personnes concernées, conformément aux articles 13 et 14 du RGPD. Cette mention est une solution simple qui peut, malgré tout, avoir des répercussions importantes en termes d’image pour le responsable de traitement. On constate une élévation de la sensibilité des personnes sur le traitement de leurs données à caractère personnel depuis la mise en œuvre du RGPD. La publicité donnée à l’arrêt sera probablement génératrice d’un stress qui nécessitera une communication adaptée pour les responsables de traitement.

La troisième solution est celle du chiffrage des données de telle manière qu’on obtienne un procédé de pseudonymisation, par ailleurs essentiel – voire obligatoire – si les transferts portent sur des catégories particulières de données à caractère personnel telles qu’elles sont listées à l’article 9 et 10 du RGPD. La pseudonymisation, pour qu’elle puisse être une solution conforme, suppose que le sous-traitant américain ne puisse pas accéder lui-même aux éléments permettant de réidentifier les personnes. Ainsi, le sous-traitant ne traitera que des données qui seront anonymes pour lui. En revanche, cette solution ne pourrait pas être adoptée en pratique lorsque, pour l’exécution du contrat, le sous-traitant a la nécessité de pouvoir accéder aux données de manière non chiffrée.

La dernière solution est celle d’obtenir un consentement spécifique, en l’informant précisément des risques que ce transfert peut comporter pour elle en raison de l’absence de décision d’adéquation ou de garanties appropriées. Dans ce cadre, les responsables de traitement devront détailler avec précision ce que leur activité génère comme risque potentiel. Dans ce cadre, similaire à une analyse d’impact, il est toujours difficile de réaliser l’exercice, même si, a priori, l’analyse de risque faite doit se limiter au traitement effectué par le sous-traitant et non pas sur la totalité du traitement.

Enfin, bien que cette problématique n’ait pas été évoquée dans le cadre de cet arrêt, il est important de préciser que les entreprises américaines qui ont mis en place des règles d’entreprises contraignantes (RGPD, art. 47), conformément au RGPD, ne sont pas touchées par cette annulation du BPD. Le régime juridique de ces dernières est indépendant et doit être évalué selon une procédure qui leur est propre.

Une géopolitique de la localisation des données

À travers le monde, les États ouvrent leur frontière aux investissements extérieurs. Cet accueil est souvent réciproque et les accords entre les États permettant de faciliter les échanges sont nombreux. Toutefois, il continue d’exister une volonté de restreindre l’ouverture de leur marché afin soit de privilégier les entreprises nationales dans certains secteurs d’activité, soit de proscrire l’accès à des entreprises de certaines nationalités. L’arrêt de la Cour de justice, même s’il ne semble pas entrer dans cette logique, doit être malgré tout mis en perspective avec cette analyse internationale.

Par exemple, la Russie, pour la protection des données à caractère personnel, présente un certain nombre de particularités. D’une part, toutes les données concernant les citoyens russes doivent être hébergées sur le territoire russe avant de pouvoir être exportées hors des frontières. Toutes les modifications doivent être réalisées sur le territoire russe. Cette contrainte oblige les entreprises étrangères à prendre un hébergeur sur le territoire russe, en toute circonstance. Les sanctions prévues par la loi russe sont importantes et rendent la gestion des données particulièrement difficile, obligeant les entreprises internationales à adapter spécifiquement leur système d’information pour répondre à ces contraintes.

Par ailleurs, toutes les opérations liées à la sécurité des systèmes d’information basés sur le territoire russe et contenant des données à caractère personnel de citoyen russe doivent être réalisées par le biais d’entreprises bénéficiant d’une certification particulière délivrée par les autorités russes. Or il s’avère qu’aucune entreprise étrangère ne bénéficie à ce jour de cette certification…

Enfin, les transferts de données à caractère personnel des citoyens russes vers les États-Unis, ou traitées de manière directe ou indirecte par des entreprises américaines, font l’objet d’une réglementation particulière. Sans être explicitement interdits, il est réclamé aux citoyens russes de transmettre un volume d’informations qui ne peut que décourager les candidats à l’export de leurs données.

Cet exemple russe est symptomatique de ce que certains États mettent en place pour « encadrer » l’arrivée d’entreprises étrangères sur leur territoire. On pourrait citer l’Indonésie qui prévoit jusqu’à la peine de mort pour ceux qui ne respectent pas le droit de la protection des données, le Vietnam qui réfléchit à adapter une réglementation similaire à celle de Russie… Au final, le fait que les États-Unis aient mis en place ce médiateur au lieu de prévoir un recours effectif devant des tribunaux participe de cette logique internationale de protectionnisme par le biais des données.

Ainsi, le RGPD est aussi perçu à l’extérieur de nos frontières comme une mesure de protection de l’accès à nos marchés, compte tenu de l’attitude de certains États. Il n’y a pas lieu de s’en émouvoir. Toutefois, les autorités de contrôle nationales sont-elles toujours au fait de cette perception lorsqu’elles se positionnent sur des interprétations qui risquent parfois plus de pénaliser des responsables de traitement européen que de mettre à mal des sous-traitants situés à l’étranger ? La Commission européenne a-t-elle parfaitement conscience de ces problématiques pour développer le marché européen ?