Rappel des épisodes précédents
Le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) a prononcé l’invalidation de l’accord Privacy Shield qui liait les États-Unis à l’Union européenne en vue de simplifier les transferts de données personnelles entre les deux puissances, ce qui a abondamment été commenté. Cette position juridique a été prise en raison de l’atteinte aux droits fondamentaux des citoyens européens : les programmes de surveillance des agences américaines ne laissent aucune possibilité de recours en justice aux citoyens européens qui auraient été « surveillés ». L’arrêt a provoqué de nombreuses incertitudes dans le paysage européen, du fait, notamment, de l’absence de période transitoire laissée aux entreprises pour s’adapter aux changements inhérents à cette invalidation.
La problématique est, au premier abord, assez simple. Du jour au lendemain, des traitements transfrontaliers de données personnelles ont changé de statut : ils sont passés de « conformes » à « non conformes » au regard de la réglementation européenne. Pour suppléer à cette situation, la Cour de justice a fait référence à l’article 49 du règlement européen de protection des données (RGPD) en précisant que ce dernier permettait « l’absence de création de vide juridique ». En effet, cet article liste des dérogations aux mécanismes généraux applicables aux transferts de données transfrontaliers. Toutefois, les autorités de contrôle ont toujours eu une interprétation restrictive des dérogations de cet article, au point de le rendre quasi inutilisable, notamment en le cantonnant aux transferts « occasionnels ». Ainsi, les différents acteurs du marché se retrouvent privés de la possibilité de poursuivre les transferts « habituels » qui préexistaient, en toute légalité, avant le 16 juillet 2020…
L’association None Of Your Business (NOYB) a choisi, au mois d’août, de privilégier une interprétation « radicale » de l’arrêt en considérant que le simple fait de travailler avec un acteur américain était, en soi, un non-respect de l’arrêt de la Cour de justice. Elle a, de ce fait, préparé une procédure de plainte à l’encontre de 101 entreprises européennes travaillant avec Google et Facebook. L’objectif de NOYB est clair : faire cesser toute relation d’affaires des entreprises européennes avec les entreprises américaines.
Depuis le 16 juillet 2020, les différents acteurs du marché attendent avec une impatience non feinte des lignes directrices de la part des différentes autorités de contrôle pour savoir si l’arrêt Schrems II doit être lu comme rendant plus difficiles les transferts de données personnelles avec les États-Unis ou, plus drastiquement, le simple fait de recourir à un acteur américain (ou à l’une de ses filiales) pour stocker ou traiter des données personnelles, même si ces dernières restent localisées sur le territoire de l’Union européenne, est impossible.
Des positions divergentes
L’autorité de contrôle du land de Berlin, en Allemagne, a indiqué que les transferts de données personnelles en direction des États-Unis devaient être stoppés immédiatement. En l’occurrence, elle ne s’est pas prononcée sur le fait d’arrêter de travailler avec un acteur américain dès lors que les données seraient stockées sur le territoire européen. Pour elle, les CCT ne semblent pas pouvoir être utilisées en l’état ni même adaptées. Pour pouvoir les mettre en œuvre, la Cour de justice a précisé que le système juridique d’accueil devait être considéré comme adéquat au regard de la charte des droits fondamentaux de l’Union européenne. Or c’est très exactement pour cette raison qu’elle a invalidé le Privacy Shield : les États-Unis ne sont pas considérés comme présentant des garanties suffisantes. En conséquence, l’autorité allemande incite les acteurs du marché à ne travailler qu’avec des prestataires européens ou avec des prestataires situés dans des pays bénéficiant d’une mesure d’adéquation.
Le Comité européen de protection des données (CEPD) a publié un avis indiquant que, parmi les différents mécanismes possibles pour continuer les transferts de données vers les États-Unis, les acteurs du marché devaient adapter les « clauses contractuelles types » (CCT). Il rappelait par ailleurs, à cette occasion, son interprétation restrictive de l’article 49 du RGPD, se mettant directement en porte-à-faux avec la décision de la Cour de justice. Le CEPD préconise donc, sans donner de modalité pratique, l’utilisation des CCT qui, d’après l’arrêt de la Cour de justice elle-même et les textes européens en vigueur, semblent inapplicables, sauf si les contractants arrivent à obtenir une modification constitutionnelle du système judiciaire américain…
Le Conseil de l’Europe a également pris position, le 7 septembre 2020, pour préciser que les États devaient se réunir pour trouver un consensus autour de l’équilibre entre le respect de la vie privée et l’ingérence dans les correspondances au regard des enjeux de sécurité des États. La convention du Conseil de l’Europe n° 108 du 28 janvier 1981, dont un protocole intégrant directement l’Union européenne est finalisé, apparaît ainsi comme un outil permettant d’assurer un dialogue entre les États. Encore faudrait-il que les États-Unis y adhèrent…
Surgissent de toutes parts des interprétations sur comment adapter les CCT ou mettre en place des mesures techniques permettant de restreindre les problématiques juridiques. Néanmoins, aucun consensus n’apparaît pour les acteurs du numérique, hormis cette idée claire que rien n’est limpide… On l’aura compris, si les autorités de contrôle ne se prononcent pas, c’est probablement car la situation est – ou semble – inextricable.
C’était sans compter sur l’ingéniosité du collectif Santénathon qui a attaqué, devant le Conseil d’État, l’arrêté ministériel du 21 avril 2020 qui prévoit l’hébergement des données de santé de la population française aux Pays-Bas, dans un cloud de l’éditeur Microsoft. La CNIL avait été consultée et avait rendu un avis le 20 avril 2020 au gouvernement français. Son avis, qui était très réservé sur le recours à Microsoft, acteur américain pour des données de santé, n’avait pas été suivi d’effet. L’arrêt Schrems II, quelques semaines plus tard, donnera un délicieux écho à cet avis, dont les répercussions se matérialisent par un recours devant le Conseil d’État. Le décor étant posé, les personnages présentés, il s’agit maintenant de lever le rideau sur ce qu’on peut comprendre de la décision du Conseil d’État, rendue le 13 octobre 2020.
Cas pratique français : la « plateforme de données de santé »
Loin de nous enseigner un cas général, la première décision portera sur un cas particulier. La plateforme de santé concerne des données de santé – une catégorie particulière hautement sensible – à la fois protégées par le secret médical en droit français et considérées comme des données sensibles dans le RGPD. Cette protection particulière s’explique par le degré de sensibilité de ces données et de l’impact qui peut en résulter pour les personnes, à tous niveaux. Par ailleurs, l’actualité de Alexeï Navalny nous met en garde sur les dérives malveillantes auxquelles pourrait donner lieu l’utilisation de ces données. Au-delà du risque concernant la vie privée, peut-être est-ce la vie elle-même d’une personne qui pourrait être menacée.
En dehors du caractère sensible de ce type de données personnelles, la volumétrie est à considérer : la totalité de la population française. Peu d’acteurs sur le marché peuvent se targuer de manipuler une telle masse de données personnelles. Ainsi, pour une telle manne d’informations sensibles, la CNIL avait émis des réserves sur le choix d’un acteur américain.
À croire qu’il s’agissait de cocher toutes les cases d’un scénario pour un film orwellien, ce gigantesque réservoir de données personnelles, sensibles, est sous l’administration d’un groupement d’intérêt public : l’Institut national des données de santé. Il est composé de l’État, des organismes assurant une représentation des malades et des usagers du système de santé, des producteurs de données de santé…
À la décharge de l’Institut national des données de santé, trouver un acteur sur le marché n’était pas aussi simple qu’il y paraît. Tout d’abord, la réglementation encadrant l’hébergement des données numériques de santé est spécifique. Il faut un agrément « hébergeur de données de santé ». Par ailleurs, il fallait que le prestataire choisi soit en mesure de supporter la charge que représentent les traitements de données sur les serveurs, avec un très haut taux de disponibilité. Le marché des prestataires informatiques, malheureusement, contraint à se tourner assez naturellement vers des acteurs américains pour des projets de grande envergure. Ainsi, la volonté exprimée par le secrétaire d’État chargé de la transition numérique de choisir un sous-traitant européen à bref délai sera suivie de près par tous les acteurs intéressés par des services numériques, prestés par des Européens, pour des projets de grande taille.
Au regard de tous ces éléments, la plateforme de données de santé, malgré le choix d’un acteur américain, a choisi de localiser les données sur le territoire européen. Ainsi, toute problématique juridique de transfert de données personnelles vers les États-Unis semble stricto sensu inexistante. Toutefois, la possibilité d’un accès par les équipes techniques de Microsoft, situées aux États-Unis, pour les besoins des opérations d’exploitation des services en ligne et de résolution d’incident, constitue les potentiels transferts de données personnelles transfrontaliers.
Ainsi, le cas pratique soumis à la juridiction suprême, malgré son caractère exceptionnel, permet de tirer quelques enseignements concernant l’appréhension de la CNIL et de la juridiction la contrôlant concernant les conséquences juridiques de l’arrêt Schrems II.
Une situation juridique instable
Au regard de l’invalidation du Privacy Shield, l’une des premières informations importantes que la décision du Conseil d’État nous confirme est que la nationalité américaine de la société ne se détermine pas par la localisation de son siège social, mais par sa perméabilité aux demandes des services de renseignement américain. En effet, le contractant de la plateforme de données de santé est Microsoft Ireland Operations Limited, dont le siège social est situé à Dublin. Au regard des règles habituellement applicables aux sociétés, cette dernière est soumise au droit de l’Union européenne et devrait être considérée comme étant « non étasunienne ». Ce point n’est même pas évoqué dans la décision…
La raison en est simple : le Conseil d’État reprend les termes de l’arrêt Schrems II qui précisait qu’étaient concernées par l’invalidation du Privacy Shield toutes les sociétés de droit américain ou leurs filiales. Ainsi, le système juridique n’est plus imperméable et les frontières conceptuelles qui fondent naturellement le droit international privé se sont envolées.
On peut également constater que, malgré la localisation des données aux Pays-Bas et l’absence de transfert de données personnelles vers les États-Unis, des CCT ont été conclues. Or, selon toute vraisemblance, ces dernières n’étaient ni nécessaires au regard de la situation au moment de la conclusion du contrat ni utiles a priori au moment où le recours a été déposé. Comme le fait remarquer le Conseil d’État, le transfert des données personnelles vers les États-Unis, interdit dans le contrat sans l’autorisation exprès de la plateforme de données de santé, reste un risque purement hypothétique.
Pourtant, ces dernières sont considérées comme insuffisantes dans la situation. En effet, leur inefficacité provient du fait qu’on imagine mal un opérateur privé américain refuser de mettre en œuvre une requête des renseignements américains fondée sur le FISA ou le Executive Order 12333. Ces deux textes ne permettant pas aux personnes visées par les requêtes de faire un recours en justice lorsqu’elles ne sont pas de nationalité américaine, la Cour de justice a considéré que le système américain ne bénéficiait pas de garanties suffisantes au regard des exigences du droit européen.
Toutefois, contrairement aux commissions rogatoires en droit français, le droit américain prévoit la possibilité de s’opposer judiciairement à une requête des services de renseignement. Ainsi, les opérateurs privés américains usent de cette possibilité dans certaines situations (requête considérée comme abusive, par exemple). Certains mettent à disposition du public les statistiques liées aux demandes reçues et les contestations qui ont pu être émises (par exemple, Google). D’ailleurs, les chiffres, une fois ramenés à l’échelle de la population des pays concernés, semblent loin de ce qu’on pourrait fantasmer. Il existe également un mécanisme procédural en droit américain permettant de mettre en œuvre un third party claim, qui est une sorte d’action pour le bénéfice d’autrui, lui permettant de bénéficier d’une action en justice lorsque le système ne lui ouvre pas cette possibilité.
Ainsi, au regard de ces deux possibilités procédurales, il semble que les opérateurs privés américains sont en mesure de « compenser » l’absence de recours pour les personnes de nationalité européenne. Il y a là une voie d’adaptation des CCT afin de les rendre plus efficaces. En pratique, cette approche semble peu réaliste car les chances que les acteurs américains acceptent de telles clauses dans leur contrat sont infimes. Par ailleurs, même si un acteur américain acceptait de les inclure dans un contrat, l’inexécution de ce type de clause serait difficile à sanctionner. En effet, il s’agit de l’exercice de droits fondamentaux qui serait resté « inactif » et soumis au caractère discrétionnaire du débiteur… Cette voie ne semble pas la bonne pour garantir une conformité, qui ne deviendrait effective qu’en cas d’exercice systématique de ces clauses. Pour que cette conformité puisse être acceptable, cela nécessiterait des adaptations du RGPD ou la création d’une nouvelle catégorie de concept juridique dans notre droit des contrats. Mais, il s’agit d’une autre histoire…
Le caractère occasionnel redéfini de l’article 49
En l’absence de possibilité de trouver une situation satisfaisante dans les CCT, la seule solution restant aux acteurs du marché, pris au dépourvu par la décision Schrems II est de s’en remettre à l’article 49, la voie de droit montrée par la Cour de justice. Le premier obstacle, pour la mise en œuvre de cet article, était de surmonter l’interprétation restrictive qui en est faite, depuis la création de ce texte par les autorités de contrôle au sein de l’Union européenne.
Notamment basée sur le considérant 111 du RGPD, cette interprétation restreint la possibilité de son recours, peu importe les cas pourtant limitativement prévus, à des transferts « non répétitifs et touchant un nombre limité de personnes ». Or la lecture précise de ce texte montre le dévoiement réalisé de cette interprétation qui ne reprend pas la lettre ni l’esprit de l’article 49 du RGPD. La doctrine des autorités de contrôle reposait, vraisemblablement, sur la crainte que ce texte puisse être considéré comme un fourre-tout permettant de s’abstraire des mécanismes plus encadrés existants par ailleurs dans le RGPD (art. 45, 46 et 47), ce qui aurait eu pour conséquence directe de les vider de leur substance.
Or, même en se basant sur une interprétation volontairement réductrice sur le considérant 111, ce serait faire injure aux rédacteurs du texte que de ne lire cet article 49 qu’au regard de ce considérant. En effet, les considérants suivants (111, 112, 113 et 114) démontrent à l’envi que l’article 49 s’intègre dans un ensemble de mécanismes plus globaux et que ce dernier peut être utilisé simplement dans sa rédaction initiale, sans retirer l’utilité aux autres mécanismes.
La situation inédite dans laquelle se retrouvent tous les acteurs du marché, en ce compris l’État français, impose une relecture de l’article 49. Démontrant sa capacité d’adaptation aux changements imposés, la CNIL est revenue sur son interprétation en proposant, dans son mémoire présenté au Conseil d’État, une approche circonstanciée de la situation juridique de la plateforme de santé par le biais de l’article 49.1 d) (motif d’intérêt public). Elle a précisé que cet article devait être restreint dans son utilisation à des transferts temporaires, en précisant que, dans le cas de l’espèce, ce caractère était limité à la stricte période nécessaire pour trouver un prestataire européen présentant une capacité de stockage et de qualité de service équivalents aux traitements réalisés sur la plateforme de santé.
Elle fait un appel du pied aux instances créatrices du droit en leur demandant une disposition normative spécifique et temporaire pour encadrer l’article 49 du RGPD. Cette demande se comprend dans la mesure où elle souhaite que le marché ait un cadre unifié de critères à mettre en œuvre lorsque l’article 49 du RGPD est utilisé. En effet, laisser les acteurs seuls dans la mise en œuvre de cette disposition risque d’aboutir à une pratique désorganisée et tendant à créer des disparités d’interprétation forte.
Pourtant, certains critères semblent pouvoir être utilisés. Chaque responsable de traitement devrait être en mesure de démontrer que :
- aucun des mécanismes des articles 45, 46 et 47 ne peut être mis en œuvre à bref délai ;
- la situation dans laquelle se situe le responsable de traitement est exceptionnelle et ne pouvait pas être anticipée dans le délai préparatoire de la mise en place du traitement de données personnelles ;
- l’urgence ou la nécessité du traitement de données personnelles impose au responsable de traitement (ou à un sous-traitant) de poursuivre ce traitement ;
- des garanties (techniques ou contractuelles), adaptées à la catégorie de données concernée, sont mises en place pour encadrer le transfert ;
- les personnes concernées doivent être en mesure d’exercer tous les droits liés à la protection des données personnelles, sous réserve des limitations prévues par la loi ou le RGPD ;
- une recherche de solution alternative est active ou inexistante ;
- préciser laquelle (ou lesquelles) des dérogations s’applique(nt) au traitement de données.
Ces conditions devraient s’appliquer cumulativement. Au regard de la nécessité de préciser comment seraient appliqués les différents critères précédemment énoncés, les autorités de contrôle auraient en main tous les éléments permettant d’apprécier la situation et les raisons pour lesquelles cet article 49 a été mis en œuvre. Cette documentation devrait apparaître dans le registre des traitements de manière particulière. En effet, cet encadrement ayant vocation à être temporaire, il doit apparaître en toute lumière afin que le responsable de traitement ou le sous-traitant ne pérennise pas une situation problématique.
Au regard des enjeux, lorsque le sous-traitant se retrouve dans une situation de ce type, le responsable de traitement doit lui préciser quelles sont les garanties qui doivent être mises en place pour encadrer le transfert. À défaut pour le sous-traitant de pouvoir répondre positivement à cette demande du responsable de traitement, le traitement de données personnelles ne devrait pas être maintenu au-delà du temps nécessaire pour changer de sous-traitant, sous réserve de l’existence d’autres sous-traitants permettant de garantir une conformité du traitement. Il y a là la possibilité d’appliquer l’article 1195 du code civil sur l’imprévision. Au regard du contexte spécifique de la plateforme de santé, on constatera que l’ensemble des critères énoncés dans la liste précédente s’applique à la décision du Conseil d’État et respecte l’esprit de la doctrine de la CNIL telle qu’elle l’a énoncée dans son mémoire. Il est important de préciser que cette liste de critère n’est pas présente dans son mémoire et qu’il s’agit, ici, de mettre en lumière des critères que nous considérons comme respectant l’esprit de la CNIL.
Piste de réflexion sur des garanties techniques adaptées
Cette affaire permet également d’aborder un angle technique particulièrement intéressant dans la protection des données : le chiffrement. Avant d’être transférées sur les serveurs de Microsoft, les données de santé font l’objet d’une pseudonymisation. Cette technique consiste à rendre difficile l’identification des personnes concernées en créant des « trous » dans les données personnelles. Par exemple, si une personne est identifiée avec ses nom, prénoms, date de naissance, lieu de naissance dans une application, la suppression de son nom patronymique et de son lieu de naissance pseudonymisent ses données.
Cette opération ayant été mise en œuvre par la plateforme de santé, avant tout transfert, le déchiffrement des données de santé par les renseignements américains pourrait être rendu très difficile, voire impossible. Le point fort de cette technique est qu’elle doit être lue selon deux points de vue distincts.
D’une part, celui qui détient la totalité des informations est capable de réidentifier les personnes. D’autre part, celui qui accède aux données tronquées se retrouve face à des données qu’on peut considérer comme anonyme dans certains cas, ou simplement chiffrées dans d’autres cas.
La sécurité de ce mécanisme, ainsi que de tout mécanisme de chiffrage des données, est évaluée en cryptographie selon une règle simple. On considère qu’une information est chiffrée de manière sûre lorsque le temps pour la déchiffrer est plus long que la durée de validité de cette information. Ainsi, la question est déplacée sur la nature et l’intérêt portés à cette information. Le RGPD nous impose un angle de lecture qui est celui de l’usage au regard de la protection des données personnelles qui peut se traduire, en quelque sorte, pour les personnes physiques comme un pouvoir sur l’utilisation de leurs données personnelles, le respect de leur vie privée et l’absence de risque créé pour leur personne, tant au niveau des droits fondamentaux que dans leurs conditions de vie.
Ainsi, toutes les catégories de données personnelles ne sont pas à protéger et à encadrer d’une manière identique. Il existe naturellement une hiérarchie dans les mesures techniques et contractuelles à mettre en œuvre. Concernant les données de santé, les mesures à mettre en œuvre sont connues car elles sont, en partie, définies par la loi. Au-delà de ces données particulières, l’article 9 du RGPD précise une liste de données qui ne peuvent pas être stockées ou utilisées, sauf dérogations précises. On constate que ces données ont en commun de créer un risque, au moins hypothétique, pour les droits fondamentaux et les conditions de vie des personnes concernées. Ainsi, même si ces dernières consentent à leur utilisation, leur appartenance à cette catégorie particulière de données imposerait de leur offrir une sécurité adaptée. Il ne s’agit pas tant, dans ce cas, de protéger la vie privée des personnes que d’éviter une utilisation de ces données avec des risques de dérives importants au cas où le contexte sociétal viendrait à se transformer.
Un cran en dessous, le même niveau de protection ne devrait pas être attendu pour le respect de la vie privée, dès lors que les données concernées ne sont pas dans les catégories particulières du RGPD. La question de savoir comment doit être appréciée la notion de « vie privée » dans le RGPD est délicate. En effet, comme le rappelle le Conseil d’État dans sa décision, la protection des données personnelles est une composante de la vie privée, ce qui suppose que cette dernière est une notion plus large. Plus généralement, on peut considérer que toutes les prescriptions du RGPD (mention d’information, article 28, etc.) doivent être mises en place dès lors que les données des personnes concernées sont suffisamment détaillées pour permettre de connaître une personne. On pourrait même considérer, dans le cas des traitements de données personnelles à finalité marketing, que le traitement en lui-même fait partie de la vie privée des personnes concernées.
Le RGPD ne s’applique pas aux personnes morales. Ceci pose la difficile question des données personnelles des collaborateurs. Si, dans le cadre de la relation de travail établie avec l’employeur, il n’y a aucune hésitation à avoir sur le niveau de protection dont doivent bénéficier les salariés et l’encadrement des outils mis à leur disposition pour exercer leur mission, dans la mesure où ces derniers peuvent être utilisés pour des activités personnelles ou domestiques (RGPD, consid. 18), il n’en est pas de même pour les activités directement liées à la personne morale. En effet, le considérant 14 rappelle que le RGPD ne s’applique pas aux données personnelles qui concernent les personnes morales. Or, dans l’exercice pur de leur mission, les salariés représentent la personne morale. Lorsqu’aucune information autre que leur nom et prénom n’apparaissent dans l’activité de l’entreprise, l’encadrement devrait être plus souple.
Il en est ainsi des traitements de données personnelles incidents entre prestataire personne morale et client personne morale. L’envoi d’un document tel qu’une facture, comportant le nom et le prénom du contact commercial, n’est pas soumis à l’article 28 du RGPD car ce traitement ne correspond ni à l’esprit ni à la lettre de cet article. Ce type de traitement doit néanmoins apparaître sous une catégorie générique dans le registre des traitements. Toutefois, l’obligation légale de la facturation, les contraintes de délai de conservation et d’archivage légal s’opposent à ce que la protection des données puisse trouver une application fertile.
De même, l’accès à des outils uniquement professionnels, par exemple l’outil de gestion des comptes en banque d’une personne morale, ne participe pas de la vie privée des salariés qui ont cette mission chez une personne morale en général. Dans de rares cas, une protection particulière pourrait être mise en œuvre en raison de la criticité du secteur d’activité. Ainsi, une personne travaillant dans une centrale nucléaire et possédant des accès à des systèmes de sécurité pourrait attirer l’attention de personnes malveillantes et le respect de sa vie privée impose une précaution particulière sur les outils qu’elles utilisent, même dans le cadre d’une mission habituelle. Son emploi, en l’occurrence, présente une sensibilité particulière qui a des répercussions sur sa vie privée. Il en est de même des personnes travaillant dans des secteurs spéciaux (membre du GIGN par exemple), pour lesquels la loi organise une protection particulière.
La diversité des situations entraîne une difficulté importante pour l’autorité de contrôle de donner des lignes directrices sur ces aspects. En effet, généraliser semble impossible. Chaque situation doit être prise en compte et faire l’objet d’un examen attentif. Toutefois, il est important de placer le curseur au bon niveau, que ce soit en termes de « protection » ou, au contraire, d’« encadrement léger », afin de laisser aux acteurs du marché l’envie de donner à la protection des données la place qui lui revient dans la société civile. Trop souvent, la protection des données est perçue comme une contrainte en raison de la lourdeur administrative ajoutée lors de la négociation des contrats ou des processus mis en place dans les entreprises ou les administrations publiques. Comme en toute chose, la mesure semble bonne conseillère.
La décision du Conseil d’État
Au final, même si on peut tirer de nombreux enseignements de ce litige, le Conseil d’État a rendu une décision dans laquelle, en raison de la procédure mise en œuvre (un référé-liberté), il ne tranche pas le fond du litige. En effet, le Conseil d’État rejette le recours en considérant que le traitement de données personnelles, aussi impactant fût-il pour les personnes concernées, est proportionné à l’intérêt général de maintenir ce traitement. Même si les acteurs du marché attendaient beaucoup de cette décision pour savoir comment ils devaient se positionner à la suite de l’arrêt Schrems II, le Conseil d’État n’aura apporté que peu de réponses.
En revanche, le mémoire de la CNIL et la décision du Conseil d’État permettent de mieux comprendre l’état du droit en cours de formation. Ainsi, ce recours est extrêmement important sur la clarification d’un certain nombre de concepts. De plus, par son caractère exceptionnel, ce que la CNIL a souligné plusieurs fois dans son mémoire afin de circonstancier sa position, la compréhension de la portée de l’arrêt Schrems II est supérieure, au final, à ce qu’un cas plus « commun » aurait pu apporter. Il apparaît clairement que les requérants porteront une action au fond afin d’obtenir une décision tranchée.
Suite au prochain épisode…
