Transferts internationaux de données depuis l’Union européenne : impasse ou début d’une nouvelle ère ?

Publié le 05/12/2020

Par un arrêt du 16 juillet 2020, la Cour de justice de l’Union européenne a jugé que la décision n° 2010/87 de la Commission européenne relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers est valide. Procédant à une interprétation finaliste du Règlement général sur la protection des données (RGPD), la Cour a cependant considérablement renforcé les obligations incombant aux exportateurs de données recourant à ces clauses pour réaliser des transferts. Enfin, la Cour a invalidé la décision n° 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (Privacy Shield).

CJUE, 16 juill. 2020, no C-311/18, Facebook Ireland et Schrems

Nouvel épisode dans la saga contentieuse opposant Maximilian Schrems à l’entreprise Facebook, l’arrêt rendu par la Cour de justice de l’Union européenne le 16 juillet 2020 marque une étape décisive dans l’encadrement des transferts internationaux de données personnelles à partir de l’Union européenne.

Le début de ce feuilleton remonte à 2013, lorsque, en réaction aux révélations d’Edward Snowden1, le ressortissant autrichien avait introduit une demande auprès du commissaire à la protection des données irlandais tendant à interdire à Facebook Ireland de transférer ses données personnelles vers les États-Unis. Sa plainte était motivée par l’absence de protection suffisante des données conservées sur le territoire de cet État à l’encontre des activités de surveillance pratiquées par les autorités publiques.

À l’occasion du recours contre le refus du commissaire de faire droit à sa demande, la High Court avait interrogé la Cour de justice de l’Union européenne sur l’interprétation de la directive n° 95/462, encadrant les transferts de données personnelles vers les pays tiers à l’Union européenne. Dans cette affaire désormais appelée Schrems I, la Cour de justice avait jugé invalide la décision de la Commission européenne qui reconnaissait que le dispositif du Safe Harbor (« sphère de sécurité ») négocié entre l’Union et les États-Unis3 garantissait une protection adéquate des données transférées4.

Dès lors, Facebook Ireland ne pouvait plus se fonder sur le Safe Harbor pour transférer les données de Maximilian Schrems vers les États-Unis. Toutefois, au cours de la nouvelle enquête ouverte par le commissaire irlandais, l’entreprise s’est prévalue des clauses contractuelles types de protection des données conclues entre elle et les importateurs de données situés sur le territoire de cet État. L’article 26 de la directive n° 95/46 prévoyait en effet qu’à défaut de décision de la Commission reconnaissant l’adéquation du niveau de protection dans le pays tiers, le responsable de traitement pouvait néanmoins procéder aux transferts sous réserve de les assortir de garanties suffisantes telles que des clauses contractuelles appropriées. Sur ce fondement, la Commission européenne avait adopté la décision n° 2010/87/UE reconnaissant que les clauses contractuelles types (CCT) qu’elle comportait en annexe étaient considérées comme offrant des garanties suffisantes dans le cadre de transferts entre un responsable de traitement et ses sous-traitants5.

Maximilian Schrems a ainsi été conduit à soutenir que les CCT conclues par Facebook Ireland ne pouvaient pas justifier des transferts dans la mesure où les importateurs de ses données se voyaient imposer par l’Administration américaine d’autoriser l’accès aux données reçues pour alimenter des programmes de surveillance dans des conditions violant les articles 7, 8 et 47 de la Charte des droits fondamentaux de l’Union européenne6.

Considérant que cette analyse soulevait la question de la validité de la décision n° 2010/87/UE, le commissaire a saisi la High Court. Au cours de la procédure devant cette juridiction, la Commission européenne a adopté, le 12 juillet 2016, une décision reconnaissant l’adéquation du Privacy Shield (« Bouclier de protection »)7, succédant au Safe Harbor. Pourtant, l’organisme du G29, réunissant les autorités de protection des données de l’ensemble des États membres de l’Union, et le Contrôleur européen de la protection des données avaient dans des avis déploré l’absence de garanties suffisantes pour prévenir les risques de surveillance massive des citoyens européens8. Facebook Inc., établie aux États-Unis, ayant fait la démarche de se conformer aux principes posés par le bouclier, Facebook Ireland disposait d’un nouveau fondement pour justifier les transferts opérés.

Dans ce contexte, la High Court a décidé de renvoyer des questions préjudicielles portant sur le niveau de protection exigé par la législation européenne pour procéder aux transferts de données personnelles. La Cour de justice a estimé que ces questions impliquent d’examiner la validité des décisions de la Commission relatives aux CCT ainsi qu’au Privacy Shield.

Les réponses apportées témoignent de manière frappante de la volonté de la Cour d’assurer le plein effet du standard de protection des données personnelles érigé par l’Union européenne.

Au terme de son analyse, les CCT demeurent un fondement valide pour réaliser des transferts internationaux de données. Cependant, la Cour a considérablement resserré l’encadrement des transferts internationaux de données moyennant des garanties appropriées en insistant sur les obligations qui incombent aux exportateurs de données. Dans ce nouveau cadre, la viabilité du recours aux CCT pour de nombreux transferts apparaît incertaine (I).

De surcroît, la Cour a affirmé l’obligation faite aux autorités de contrôle des États membres de suspendre les transferts lorsqu’elles constatent que les garanties prévues par les exportateurs sont insuffisantes au regard des exigences du droit de l’Union européenne. Elle est ainsi venue renforcer les responsabilités des agences nationales de contrôle (II).

Enfin, la Cour a annulé sans surprise le Privacy Shield en application de la grille d’analyse posée dans l’arrêt Schrems I (III).

I – Un encadrement resserré des transferts internationaux de données moyennant des garanties appropriées

La plainte reformulée de Maximilian Schrems invoquant l’insuffisance des clauses contractuelles types pour prévenir l’accès à ses données par les autorités de renseignement américaines a conduit la Cour à compléter son œuvre jurisprudentielle en matière d’encadrement des transferts de données.

Remodelées et étoffées, les règles posées par la directive n° 95/46 en matière de transferts de données vers les pays tiers ont été reprises au chapitre V du Règlement général sur la protection des données (RGPD)9. Pensées pour prévenir le contournement de la protection des données personnelles appliquée dans l’Union, ces dispositions visent à assurer un niveau de protection élevé lors des transferts et de ce fait à prolonger les effets du RGPD en dehors des frontières de l’Union. À cet égard, l’article 44 intitulé, « Principe général applicable aux transferts », dispose que l’ensemble des dispositions du chapitre doivent être interprétées de manière à ce que le niveau de protection des personnes physiques garanti par le règlement ne soit pas compromis. Cet article chapote un dispositif à plusieurs étages qui traduit une stratégie incitant fortement les États tiers à se conformer au standard de protection de l’Union. Il donne lieu à un arbitrage difficile entre le pragmatisme qu’imposent les enjeux commerciaux des flux internationaux de données et les garanties des individus renforcées sous l’influence de la Charte des droits fondamentaux, qui protège la vie privée et les données personnelles.

Le premier étage matérialisé par l’article 45 du RGPD admet qu’un transfert puisse être réalisé si la Commission européenne adopte une décision reconnaissant que le pays tiers de réception des données assure un niveau de protection adéquat. La Cour de justice a affirmé dans l’arrêt Schrems I que ce niveau adéquat doit être interprété comme étant substantiellement équivalent à celui institué dans l’Union européenne. En outre, le RGPD a listé de manière non exhaustive les éléments que doit prendre en considération la Commission lorsqu’elle procède à l’étude de la législation et des pratiques d’un pays tiers. Le contrôle d’adéquation a donc été progressivement précisé. À ce jour, la Commission ne reconnaît l’adéquation que de 12 États, en comprenant la décision d’adéquation partielle visant le Canada10.

Pour surmonter la situation de blocage des transferts lorsqu’un État n’accorde pas une protection adéquate, un dispositif subsidiaire est prévu. Le premier paragraphe de l’article 46 permet aux responsables de traitement ou à leurs sous-traitants de transférer les données vers ce pays à la condition qu’ils prennent des « garanties appropriées » et que des droits opposables et des voies de droit effectives soient reconnus aux personnes dont les données sont transférées. Le deuxième paragraphe énumère les instruments auxquels les exportateurs de données peuvent recourir pour fournir de telles garanties sans recueillir d’autorisation préalable, parmi lesquels figurent au point c) les clauses types de protection des données adoptées par la Commission. Ces clauses reflètent ainsi le besoin de trouver des solutions alternatives en réponse à l’impossibilité que l’ensemble des États du monde s’alignent sur le standard de protection européen.

La bataille contentieuse de Maximilian Schrems contre le transfert de ses données aux États-Unis a cependant souligné la fragilité de ce dispositif subsidiaire et interrogé sur la capacité des CCT à assurer une protection effective des données en raison de leur nature contractuelle.

A – L’uniformisation du niveau de protection des transferts de données

Pour répondre aux questions renvoyées par la High Court, la Cour de justice a été amenée à préciser les exigences posées par le fondement législatif des clauses contractuelles types.

Prenant appui sur l’article 44 et les considérants du RGPD, la Cour a explicité que les garanties prescrites par l’article 46 doivent compenser les lacunes de la protection accordée par l’État concerné. Il en découle qu’un niveau de protection identique à celui constaté dans le cadre d’une décision d’adéquation, c’est-à-dire « un niveau substantiellement équivalent à celui garanti au sein de l’Union »11, doit être établi.

La Cour a ainsi transposé les exigences relatives à la protection fournie par un État tiers dégagées dans l’arrêt Schrems I aux transferts moyennant des garanties appropriées octroyées par un exportateur de données. La vérification du respect de l’article 46 ne se limite pas à l’analyse des stipulations contractuelles convenues entre un exportateur et un importateur de données. Dans l’hypothèse où les autorités publiques du pays tiers peuvent accéder aux données importées, la Cour a indiqué qu’une évaluation du droit de cet État doit être diligentée. La Cour a précisé que cette étude doit prendre en considération les éléments que la Commission est tenue d’examiner lorsqu’elle adopte une décision d’adéquation12.

Cette lecture constructive de l’article 46 est cohérente vis-à-vis de l’objectif de prévention de contournement de la législation et tient compte des limites intrinsèques aux engagements contractuels. Cependant, elle restreint considérablement la souplesse du dispositif des transferts moyennant des garanties appropriées en imposant une méthodologie conçue pour le travail de la Commission européenne.

Le raisonnement de la Cour étant fondé sur le premier paragraphe de l’article 46, l’exigence d’adéquation et d’analyse le cas échéant du système juridique d’un État s’étend à l’ensemble des instruments du deuxième paragraphe. En conséquence, les réponses apportées par la Cour ne se limitent pas à préciser le régime juridique des CCT. Elles impactent également les règles d’entreprise contraignantes qui constituent un outil souvent mobilisé par les grandes multinationales pour pouvoir faire circuler les données au sein des entités qu’elles regroupent13.

L’examen de validité de la décision de la Commission relative aux CCT par la Cour confirme l’accroissement des contraintes reposant sur les exportateurs de données liées à la transposition de l’obligation de protection adéquate.

B – Le renforcement des obligations des exportateurs de données recourant aux CCT

Une fois les exigences découlant de l’article 46 du RGPD délimitées, la Cour a examiné si les clauses types de protection de la Commission sont à même d’assurer un niveau de protection adéquat des données transférées vers des pays tiers.

À ce jour, les CCT constituent un outil primordial en raison du nombre limité de décisions d’adéquation. Les grandes sociétés américaines du secteur numérique ne sont pas les seules à y recourir car le développement de services en ligne implique la sollicitation de prestataires fréquemment situés en dehors des frontières de l’Union. L’examen des politiques de confidentialité d’entreprises européennes telles que Spotify14, Blablacar15 ou Leboncoin16 révèlent fréquemment l’usage de telles clauses pour transférer les données collectées vers une pluralité d’États tiers. À ce titre, l’interprétation des CCT par la Cour impacte une quantité significative des transferts réalisés depuis l’Union européenne.

Dans le prolongement des considérations exposées précédemment, la Cour a mis en évidence les limites d’un dispositif contractuel qui ne peut avoir pour effet de lier les autorités des pays tiers. En présence d’un État dont le droit s’oppose au respect du contenu des clauses souscrites, ces dernières s’avèrent inefficaces. Tel est le cas, selon la Cour, lorsqu’un État permet à ses autorités publiques de procéder à des ingérences dans les droits des personnes dont les données sont transférées.

Néanmoins, la Cour a jugé que ce constat n’est pas de nature à affecter la validité de la décision de la Commission relative aux CCT pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers.

Pour parvenir à cette conclusion, la Cour a insisté sur la responsabilité qui incombe aux exportateurs de données en vertu de l’article 46 du RGPD. Les clauses contractuelles types fournies par la Commission ont pour objet de proposer des garanties contractuelles s’appliquant de manière uniforme dans tous les pays tiers. Selon la Cour, il n’appartient pas à la Commission de vérifier en amont que ces garanties pourront être suffisantes pour assurer un niveau de protection adéquat dans l’ensemble des États tiers.

De manière prétorienne, la Cour a énoncé que c’est aux exportateurs qu’il revient de s’assurer que le contenu des CCT ne sera pas compromis par le droit du pays vers lequel les données sont transférées. En cas de réponse négative, ils doivent prévoir des garanties supplémentaires à celles instituées par les clauses contractuelles types. Si aucune garantie supplémentaire ne peut permettre de compenser les lacunes constatées, le transfert ne peut pas avoir lieu.

Partant, la Cour a déclaré que la validité de la décision de la Commission dépend de l’effectivité des clauses pour permettre le respect du droit de l’Union et la suspension ou l’interdiction des transferts lorsqu’elles ne peuvent pas être honorées. À l’issue d’un examen détaillé des CCT, la Cour a conclu que ces conditions étaient remplies17. Elle a toutefois précisé que le droit conféré à l’exportateur de suspendre le transfert lorsqu’il est informé que le destinataire des données n’est pas en mesure de respecter lesdites clauses doit être lu comme une obligation au regard des exigences découlant des articles 7 et 8 de la Charte18.

Par conséquent, les CCT demeurent un instrument valide pour effectuer des transferts mais les apports de l’arrêt sur les limites d’un dispositif contractuel et les obligations incombant aux exportateurs de données fragilisent la viabilité de cet instrument.

En pratique, les études de droit comparé exigées risquent de dissuader des organismes de recourir aux CCT en raison des coûts significatifs engendrés. Ces études, qui doivent être réalisées pour « pour chaque transfert spécifique », requièrent un accès aux législations étrangères et une maîtrise approfondie de celles-ci. Sans l’aide d’experts, on conçoit mal par exemple qu’une entreprise soit en mesure d’évaluer si le droit d’un État du continent asiatique s’oppose au respect des CCT conclues avec son sous-traitant. Comme le soulignait l’avocat général dans ses conclusions, des obligations contraires aux clauses peuvent ne viser qu’une catégorie restreinte d’opérateurs19. Le responsable de traitement doit donc réussir à évaluer avec précision le champ d’application de la législation en question pour s’assurer que son sous-traitant n’y est pas soumis.

À ces coûts d’évaluations préalables s’ajoute la délicate identification des garanties supplémentaires qu’un responsable de traitement pourrait mettre en place. Le comité européen de la protection des données (CEPD), dans un document publié pour répondre aux premières interrogations occasionnées par l’arrêt, a déclaré procéder actuellement à une réflexion sur le sujet et qu’il fournira prochainement davantage de lignes directrices. Selon le comité européen, il pourrait s’agir de mesures juridiques, techniques ou organisationnelles20.

Enfin, l’arrêt Schrems II pourrait aboutir à prohiber l’ensemble des transferts vers un certain nombre d’États dans lesquels aucune garantie supplémentaire ne pourrait permettre de lever l’obstacle à l’exécution des CCT. Tel pourrait être le cas de la Chine, qui d’un point de vue européen ne respecte pas les droits fondamentaux des individus et ne dispose pas de juridictions indépendantes pour assurer le respect de la protection des données. En 2016, le Parlement européen avait alerté sur les risques que représentait l’augmentation du nombre de transferts vers cet État pour la protection des données des citoyens européens21.

Ce nouvel encadrement des CCT pourrait à terme, s’il est appliqué de manière stricte, restreindre sensiblement les transferts de données collectées dans l’Union. Toutefois, ce résultat est incertain. La complexité de la solution dégagée par la Cour et les analyses casuistiques qui en résultent reflètent la tension entre le respect des droits fondamentaux et le pragmatisme économique. La dépendance de l’économie du numérique aux transferts de données et les laborieuses vérifications résultant de l’interprétation de la Cour pourraient affaiblir en pratique la portée de l’arrêt.

À la lumière de ces éléments, le respect des nouvelles règles posées par la Cour dépendra étroitement des contrôles effectués par les agences nationales de protection des données.

II – Les responsabilités renforcées des agences nationales de contrôle

Conformément à l’arrêt Schrems I, la Cour a rappelé la compétence des autorités nationales en matière de contrôle des transferts de données. Elles sont en effet chargées de vérifier en toute indépendance si les transferts respectent les exigences du RGPD. Aussi, la Cour a défini comment cette compétence doit être exercée en cas de plaintes d’un individu dont les données ont été transférées sur le fondement de CCT.

Le mode d’emploi édicté par la Cour prend acte du caractère subsidiaire des CCT vis-à-vis des décisions d’adéquation. En présence d’une décision d’adéquation valablement adoptée par la Commission, l’autorité est soumise au plein respect de cette décision. Cependant, en cas de doute sur la validité de la décision, l’autorité peut saisir la juridiction nationale compétente afin qu’elle renvoie si besoin une question préjudicielle à la Cour de justice. Lorsqu’une décision d’adéquation n’a pas été prise, l’autorité qui constate que les clauses ne peuvent pas être respectées dans le pays tiers visé et que la protection requise ne peut pas être assurée par d’autres moyens est dans l’obligation de suspendre ou interdire le transfert. La décision prise doit s’appuyer sur l’ensemble des circonstances propres au transfert attaqué.

Cet état du droit résulte à nouveau d’une interprétation finaliste de la Cour visant à garantir l’effectivité des droits fondamentaux et du RGPD. Les dispositions de l’article 57 du RGPD répertoriant les pouvoirs dont doivent être dotées les agences nationales pour réagir de manière appropriée aux éventuelles violations constatées ne dictent pas les outils coercitifs devant être choisis parmi cette liste.

À la lecture des conclusions de l’avocat général, il ressort que ce choix de placer les autorités nationales dans une situation de compétence liée vise à permettre l’exercice du droit à un recours effectif octroyé par l’article 47 de la charte et reconnu également à l’article 78 du RGPD. L’existence d’une compétence discrétionnaire pourrait compromettre les chances de succès des recours juridictionnels contre les refus d’une agence nationale de prononcer la suspension ou l’interdiction d’un transfert22. Consciente du caractère essentiel de l’examen des plaintes par les autorités nationales dans le système de protection érigé par l’Union européenne, la Cour a encadré davantage l’exercice de leurs pouvoirs.

Un contentieux sériel de la légalité des décisions des agences relatives aux transferts de données pourrait ainsi voir le jour au cours des prochaines années. Les juridictions nationales seront chargées d’une lourde tâche en raison des analyses étayées devant être réalisées pour chaque catégorie de transfert contesté. La pluralité des circonstances que doivent prendre en compte les agences pourrait avoir pour effet de diluer le contrôle juridictionnel et de limiter le nombre de censures.

Une autre conséquence envisageable est l’accroissement du rôle de la Cour de justice pour appréhender la compatibilité des transferts au RGPD. Confrontées à l’examen du caractère adéquat de la protection accordée par des CCT, certaines juridictions nationales pourraient juger utile de renvoyer des questions préjudicielles en interprétation à la Cour de Luxembourg.

Au-delà du contrôle juridictionnel, le respect de l’encadrement des CCT institué par l’arrêt Schrems II sera essentiellement tributaire des ressources humaines et financières des agences pour procéder aux vérifications requises. Outre le travail fastidieux d’examen de la législation des États tiers et des garanties supplémentaires qui seront proposées par les responsables de traitement, se pose la problématique de l’identification des transferts à contrôler. En effet, les transferts moyennant des garanties appropriées résultant de CCT ne requièrent pas d’autorisations préalables des autorités. En raison du travail d’investigation nécessaire à la cartographie des transferts illégaux, les plaintes individuelles seront un vecteur essentiel de la mise en œuvre de la jurisprudence de la Cour.

En l’état actuel, il apparaît que de nombreuses entreprises continuent de recourir à des CCT malgré l’insécurité juridique qui entoure cet instrument depuis le prononcé de l’arrêt. À la suite de l’arrêt, Google et Facebook ont poursuivi les transferts vers les États-Unis sur le fondement de ces clauses alors que les considérations ayant conduit la Cour à annuler le Privacy Shield mettent clairement en lumière l’inadéquation de la législation de cet État. Le Wall Street Journal a rapporté que l’Autorité irlandaise de protection des données aurait rendu une « ordonnance préliminaire » enjoignant à Facebook de suspendre les transferts vers les États-Unis23.

Dans l’optique du bras de fer qui s’annonce, l’association Noyb, présidée par Maximilian Schrems, a déposé au mois d’août 101 plaintes à l’encontre d’entreprises situées dans 30 États membres de l’Union et de l’Espace économique européen. Elle reproche à ces entités de continuer à transmettre des données à Google et Facebook car elles recourent aux services Google Analytics et Facebook Connect pour étudier la fréquentation de leurs sites et permettre aux utilisateurs de se connecter par le biais de leur compte Facebook24. En réaction au dépôt de ces plaintes, le CEPD a annoncé le 4 septembre la création d’une équipe de travail chargée de les examiner et d’assister les contrôleurs nationaux25.

Le traitement des plaintes devrait donc susciter un considérable travail de coordination pour prévenir l’adoption de décisions divergentes des autorités de contrôle européennes. Par ailleurs, une mutualisation des études conduites sur la législation des État tiers apparaît indispensable pour que les autorités nationales puissent instruire les dossiers dans des délais raisonnables. Sur ce point, la Cour a évoqué la possibilité dont dispose une autorité qui estimerait que les transferts vers un pays tiers doivent, d’une manière générale, être interdits de saisir pour avis le CEPD en vertu de l’article 64, paragraphe 2, du RGPD. Si son avis n’est pas suivi, ce dernier pourra décider de rendre une décision contraignante en application de l’article 65, paragraphe 1, sous c)26. Faute de recourir à ce mécanisme facultatif de mise en cohérence instauré par le RGPD, une disparité dans le niveau de protection des données lors des transferts pourrait être constatée à l’échelle de l’Union européenne. En outre, le caractère individualisé et circonstancié de chaque examen de transfert fondé sur des CCT pourrait complexifier l’adoption de positions communes ainsi que leur application. L’arrêt Schrems II pourrait ainsi fournir d’intéressants indicateurs sur le succès ou les failles des mécanismes mis en place par le RGPD pour coordonner l’action des autorités nationales.

Drapeau européen sous forme de vague de données
mixmagic / AdobeStock

III – L’annulation attendue du Privacy Shield

Dernier apport de l’arrêt, l’invalidation du Privacy Shield ne surprend guère. Le G29 et le Contrôleur européen de la protection des données avaient en 2016 dans des avis respectifs mis en exergue les insuffisances de l’accord négocié pour répondre aux cahiers des charges dressé par la Cour de justice dans l’arrêt Schrems I. Le Contrôleur européen avait considéré qu’il pouvait être regardé comme un pas dans la bonne direction mais qu’il ne comportait pas les garanties appropriées pour protéger le droit des personnes à la vie privée et à la protection des données dans l’Union, y compris en ce qui concerne les recours juridictionnels. En dépit des recommandations de ces instances tendant à renforcer la protection prévue, la Commission a reconnu l’adéquation du dispositif.

Saisissant à nouveau l’opportunité offerte par la plainte déposée par Maximilian Schrems d’examiner la validité du dispositif ad hoc d’adéquation des transferts vers les États-Unis, la Cour a appliqué le cadre d’analyse dégagé dans l’arrêt Schrems I. À l’instar du Safe Harbor, la Cour a constaté que le Privacy Shield prévoyait la primauté des exigences de sécurité nationale, de l’intérêt du public et de la législation sur les principes auxquels doivent se soumettre les entreprises auto-certifiées situées aux États-Unis. Les autorités américaines étaient donc toujours en mesure d’accéder aux données transférées depuis l’Union européenne dans le cadre des programmes de surveillance PRISM et UPSTREAM sr le fondement du Foreign Intelligence Surveillance Act (FISA)27 ainsi que d’un décret présidentiel (E.O 12333) permettant d’accéder aux données en transit par le biais des câbles sous-marins28. De telles ingérences dans les droits au respect de la vie privée et à la protection des données consacrés par la charte ne peuvent être admises, selon la Cour, que si elles sont strictement encadrées et proportionnées. Pour respecter ces exigences résultant du premier paragraphe de l’article 52 de la charte, la réglementation comportant l’ingérence doit établir des règles claires et précises régissant la portée et l’application de la mesure en cause et doit apporter des garanties suffisantes pour protéger les personnes dont les données ont été transférées contre les risques d’abus.

Or la Cour a observé que le FISA ne comporte pas d’habilitation délimitant précisément les données pouvant être collectées par les autorités ni de garanties pour les personnes non-américaines potentiellement visées par les programmes de surveillance. Elle a relevé, à cet égard, que le contrôle du tribunal de surveillance du renseignement extérieur des États-Unis se limite à vérifier que les programmes correspondent à l’objectif d’obtenir des informations en matière de renseignement extérieur. Il n’examine pas si les personnes sont correctement ciblées pour se procurer de telles informations. La directive présidentielle, dénommée PPD-28, imposant des limitations aux opérations de renseignement aussi bien fondées sur le FISA que sur le décret présidentiel E.O 12333, est apparue insuffisante aux yeux de la Cour dans la mesure où elle ne confère pas aux personnes visées de droits opposables devant les tribunaux. Dans ces conditions, la Cour a jugé que la réglementation américaine ne respectait pas les exigences minimales européennes attachées au principe de proportionnalité et ne répondait pas au niveau de protection substantiellement équivalent requis pour procéder aux transferts.

Enfin, dans la continuité de l’arrêt Schrems I, la Cour a également rappelé l’impératif pour la Commission européenne de constater que le contenu essentiel du droit fondamental à une protection juridictionnelle effective consacré à l’article 47 de la charte est respecté lorsqu’elle prend une décision d’adéquation29. Pourtant, la Commission avait pris acte de l’absence de toute voie de recours dans le cadre de l’E.O. 12333 ainsi que du défaut de droits opposables quel que soit le fondement du programme de surveillance. Pour admettre l’adéquation du Privacy Shield, cette dernière s’était reposée sur l’existence d’un mécanisme de médiation. Toutefois, le rattachement du médiateur au département d’État des États-Unis et l’absence de garanties pour prévenir sa révocation ont conduit la Cour à remettre en cause son indépendance vis-à-vis de l’Administration américaine. Par ailleurs, la Cour n’a pas été convaincue par les engagements du gouvernement américain tendant à corriger toute violation des normes applicables détectée par le médiateur. En l’absence d’éléments permettant de reconnaître que ce dernier est habilité à prendre des décisions contraignantes ou que l’engagement pris serait accompagné de garanties légales dont pourraient se prévaloir les individus, la Cour a conclu que le mécanisme de médiation ne fournissait pas de voies de recours substantiellement équivalentes à celles exigées par l’article 47 de la charte.

Pour l’ensemble des considérations précitées, la Cour a invalidé la décision de la Commission reconnaissant le niveau de protection adéquat du Privacy Shield. Le raisonnement juridique suivi par la Cour n’appelle pas de commentaires développés dès lors qu’il reprend de manière analogue les principes dégagés dans l’arrêt Schrems I et aboutit à une solution similaire. La Cour de justice n’a pas infléchi sa politique jurisprudentielle instaurant un contrôle étroit des décisions d’adéquation de la Commission européenne.

Il n’en demeure pas moins que cet arrêt est lourd de conséquences pour les organismes qui avaient recours au Privacy Shield pour transférer des données vers les États-Unis. Contrairement à ce qui avait été décidé au lendemain de l’annulation du Safe Harbor, le CEPD a annoncé qu’aucune période de grâce ne serait accordée30. Par conséquent, ces organismes ont été placés dans l’obligation de cesser immédiatement d’employer ce dispositif. Du fait notamment de la reprise en substance des principes du Safe Harbor, le Privacy Shield avait rencontré un succès auprès des entreprises31 et comprenait plus de 5 000 adhérents32. Ce constat d’invalidité conjugué à la transposition des exigences d’adéquation aux transferts moyennant des garanties appropriées devrait en principe réduire drastiquement les flux de données transatlantiques.

L’annonce concomitante au prononcé de l’arrêt du souhait de la Commission européenne de continuer à échanger étroitement avec les autorités américaines pour pérenniser les transferts dans le respect des règles posées par la Cour33 illustre le besoin d’assurer pour des impératifs économiques la circulation des données entre l’Union et les États-Unis. Dans cette perspective, des négociations pourraient être engagées pour rétablir un dispositif ad hoc d’adéquation.

Si telle est l’option retenue, les facultés de négociation des fonctionnaires européens seront considérablement restreintes par la jurisprudence de la Cour. L’attractivité du marché européen pour les entreprises nord-américaines constitue un puissant levier34 pour obtenir des avancées, mais il apparaît difficilement concevable au regard des précédentes négociations que les États-Unis concèdent des modifications de leur réglementation sur l’ensemble des points identifiés comme problématiques par la Cour de justice.

L’interprétation finaliste du contrôle d’adéquation du système de protection des pays tiers justifiée par le respect de la charte des droits fondamentaux pourrait ainsi mener à une impasse, en ce sens que tout nouveau compromis s’expose à une censure de la Cour de justice.

Pourtant la dynamique pragmatique qui anime le mécanisme d’adéquation incite les institutions européennes à poursuivre la recherche de tels accords. La Commission s’efforce de respecter le cadre posé par la Cour, mais les nécessités économiques et la complexité des négociations internationales aboutissent à admettre des écarts vis-à-vis du standard de protection que l’Union entend garantir. Les États-Unis ne sont pas un cas isolé. La validité de la décision d’adéquation visant le Japon adoptée en 201935 pourrait être aussi contestée en raison notamment de certains obstacles à l’introduction de recours par les individus identifiés par le CEPD36. Eu égard à la durée des procédures juridictionnelles susceptibles d’aboutir à une invalidation des décisions d’adéquation par la Cour, des compromis incompatibles avec les exigences européennes peuvent produire des effets pendant plusieurs années.

Ainsi, l’annulation attendue du Privacy Shield révèle les limites du contrôle d’adéquation institué et le paradoxe auquel il se confronte du fait de la montée en puissance des droits fondamentaux dans l’ordre juridique de l’Union européenne.

L’arrêt Shrems II marquera-t-il un changement de paradigme ?

Il n’est pas inenvisageable que la fermeté de la position réaffirmée par la Cour fasse échouer de futures négociations et encourage le recours aux garanties appropriées de l’article 46 du RGPD. Le contrôle d’adéquation des transferts reposerait alors essentiellement sur des analyses individualisées et peu prévisibles.

À l’aune de ce constat, l’arrêt de la Cour paraît susciter davantage de problèmes qu’il n’en règle, à l’image de la démarche acrobatique de l’Union européenne pour tenter de prolonger les effets de sa législation à l’extérieur de ses frontières.

On étudiera donc de près les futures négociations engagées par la Commission européenne et la réforme annoncée des clauses contractuelles types37.

Le 9 septembre 2020, l’association Noyb a signalé que Facebook se prévaudrait désormais pour transférer les données collectées dans l’Union vers les États-Unis de l’article 49, (1), (b), du RGPD instaurant une dérogation aux règles du chapitre V lorsque les transferts sont nécessaires à l’exécution d’un contrat entre la personne concernée et le responsable du traitement38. Si ce scénario était confirmé, un nouveau contentieux pourrait s’ouvrir sur l’interprétation de ces dispositions.

Sous l’impulsion de l’arrêt Schrem II, le débat sur l’encadrement des transferts n’est pas près de se tarir.

Notes de bas de pages

  • 1.
    « Les révélations d’Edward Snowden, un séisme planétaire », Le Monde, 21 oct. 2013.
  • 2.
    PE et Cons. CE, dir. n° 95/46/CE, 24 oct. 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
  • 3.
    Comm. CE, décis. n° 2000/520/CE, 26 juill. 2000, conformément à la directive n° 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du Commerce des États-Unis d’Amérique.
  • 4.
    CJUE, gde ch., 6 oct. 2015, n° C-362/14, Maximillian Schrems c/ Data Protection Commissioner ; Debet A., « L’invalidation du Safe Harbor par la CJUE : tempête sur les transferts de données vers les États-Unis », JCP G 2015, p. 46-47.
  • 5.
    Comm. UE, décis. n° 2010/87/UE, 5 févr. 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46.
  • 6.
    CJUE, gde ch., 16 juill. 2020, n° C-311/18, Facebook Ireland et Schrems, pts 54 et 55.
  • 7.
    Comm. UE, décis. d’exécution n° 2016/1250, 12 juill. 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis.
  • 8.
    G29, « Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision », 13 avr. 2016, 16/EN WP 238 ; Contrôleur européen de la protection des données, avis n° 4/2016, « Avis concernant le “Bouclier vie privée UE-États-Unis” (Privacy Shield). Projet de décision d’adéquation », 30 mai 2016 ; Castets-Renard C., « L’adoption du Privacy Shield sur le transfert de données personnelles », D. 2016, p. 1696.
  • 9.
    PE et Cons. UE, règl. n° 2016/679, 27 avr. 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive n° 95/46/CE.
  • 10.
    https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.
  • 11.
    CJUE, gde ch., 16 juill. 2020, n° C-311/18, Facebook Ireland et Schrems, pt 96.
  • 12.
    CJUE, gde ch., 16 juill. 2020, n° C-311/18, Facebook Ireland et Schrems, pt 104.
  • 13.
    Comm. UE, « BCR overview until 25 th May 2018 ».
  • 14.
     « Comment Spotify partage/transfert mes données personnelles ? », https://www.spotify.com/fr/privacy/.
  • 15.
    « 7. Vos données sont-elles transférées, comment et où ? », https://blog.blablacar.fr/about-us/privacy-policy.
  • 16.
     « Destinataires des données », https://www.leboncoin.fr/dc/cookies/.
  • 17.
    Pts 137 à 149.
  • 18.
    Pt 140.
  • 19.
    Saugmandsgaard Øe H., note de bas de page n° 48 ss CJUE, gde ch., 16 juill. 2020, n° C-311/18, Facebook Ireland et Schrems.
  • 20.
    CEPD, « Foire aux questions sur l’arrêt rendu par la Cour de justice de l’Union européenne dans l’affaire C-311/18 - DataProtection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems », 23 juill. 2020, question n° 10, p. 6.
  • 21.
    PE, « At a glance, Plenary – 20 June2016, Personal data transfers to China » : https://www.europarl.europa.eu/RegData/etudes/ATAG/2016/583836/EPRS_ATA(2016)583836_EN.pdf.
  • 22.
    Saugmandsgaard Øe H., pts. 148 à 150 ss CJUE, gde ch., 16 juill. 2020, n° C-311/18, Facebook Ireland et Schrems.
  • 23.
    The Wall Street Journal, « Facebook Appeals Move to Curb EU-U.S. Data Transfer », 11 sept. 2020.
  • 24.
    https://noyb.eu/fr/101-plaintes-deposees-sur-les-transferts-ue-usa.
  • 25.
    https://edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-seventh-plenary-session-guidelines-controller_en.
  • 26.
    Pt. 147 de l’arrêt.
  • 27.
    Art. 702.
  • 28.
    Executive Order 12333 (E.O. 12333).
  • 29.
    CJUE, gde ch., 6 oct. 2015, n° C-362/14, Maximillian Schrems c/ Data Protection Commissioner, pt. 95.
  • 30.
    CEPD, « Foire aux questions sur l’arrêt rendu par la Cour de justice de l’Union européenne dans l’affaire C-311/18 - DataProtection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems », 23 juill. 2020, question n° 3, p. 2-3.
  • 31.
    Schwartz P.-M., « Global Data Privacy : The EU Way », New York University Law Review, vol. 94 : 771, 2019, p. 805
  • 32.
    https://www.privacyshield.gov/list.
  • 33.
    Comm. UE, « Opening remarks by Vice-President Jourová and Commissioner Reynders at the press point following the judgment in case C-311/18 Facebook Ireland and Schrems », Statement/20/1366, 16 juill. 2020.
  • 34.
    Facebook détient plus d’utilisateurs en Europe qu’en Amérique du Nord : « Facebook Users in the World, Internet World Stats », mars 2020, https://www.internetworldstats.com/facebook.htm.
  • 35.
    Comm. UE, décis. d’exécution n° 2019/419, 23 janv. 2019, constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le Japon en vertu de la loi sur la protection des informations à caractère personnel.
  • 36.
    CEPD, avis n° 28/2018, concernant le projet de décision d’exécution de la Commission européenne constatant le niveau de protection adéquat des données à caractère personnel assuré par le Japon.
  • 37.
    Comm. UE, « Opening remarks by Vice-President Jourová and Commissioner Reynders at the press point following the judgment in case C-311/18 Facebook Ireland and Schrems », Statement/20/1366, 16 juill. 2020.
  • 38.
    « Is the DPC actually stopping Facebook’s EU-US data transfers ? !..maybe half-way ! » : https://noyb.eu/en/dpc-actually-stopping-facebooks-eu-us-data-transfers-maybe-half-way.