Le 16 juillet 2020, la Cour de justice de l’union européenne a invalidé la décision 2016/1250 relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis.
La CJUE a également validé les clauses contractuelles types permettant le transfert de données depuis l’Union européenne vers des importateurs établis hors de l’Union.


I) Historique sur le safe harbor et le privacy shield

Le droit de l’Union Européenne sur la protection des données interdit par principe les transferts de données hors de l’UE.
Par exception, les transferts de données vers des pays tiers sont possibles si l’entité exportatrice de données assure un niveau de protection adéquat aux données transférées.

Du point de vue de l’UE, les Etats-Unis n’offrent pas un niveau de protection adéquat notamment car il n’existe pas de législation fédérale offrant un cadre unifié à la protection des données personnelles.

Afin de faciliter les transferts de données vers les Etats-Unis, la Commission Européenne avait conclu en juillet 2000 un premier accord dit « Safe Harbor » avec le Department of Commerce du gouvernement des Etats-Unis, destiné à assurer une protection des données transférées aux Etats-Unis équivalente à celle de l’UE.
Les principes du « Safe Harbor » reprenaient notamment : l’information des personnes, la possibilité accordée à la personne concernée de s’opposer à un transfert ou à une utilisation des données pour des finalités différentes, un consentement explicite pour les données sensibles, ou le droit d’accès et de rectification.

Ce mécanisme d’adéquation fut invalidé par la Cour de justice de l’Union européenne le 6 octobre 2015(décis. 2000/520/CE, 26 juill. 2000).

Suite à l’invalidation du Safe Harbor, s'est conclu le 2 février 2016 le Privacy Shield, ou « bouclier de protection des données », destiné à maintenir les accords commerciaux tout en se conformant aux exigences de la CJUE afin d'assurer un niveau de protection suffisant des données à caractère personnel transférées aux États-Unis.

Cet accord repose sur un mécanisme d'auto certification des organisations américaines qui collectent des données à des fins commerciales. Les transferts de données vers les Etats-Unis étaient donc libres lorsqu’ils étaient effectués vers des entreprises qui avaient auto-certifié leur adhésion aux principes de protection des données détaillés dans le « Privacy Shield ».
En revanche, les transferts de données vers d’autres entités (entreprises non certifiées ou ne relevant pas de la compétence du Department of Commerce) devaient être encadrés par d’autres outils de transfert tels que les clauses contractuelles types (CCT) adoptées par la Commission Européenne ou les règles d’entreprises contraignantes.
L’article 46 du RGPD précise que ces garanties doivent « assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union, y compris l’existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d’engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l’Union ou dans un pays tiers ».

L’annulation du « Safe Harbor » et du « Privacy Shield » résulte de deux plaintes déposées auprès de l’autorité de contrôle irlandaise par M Schrems à l’encontre de la société Facebook Ireland. L'affaire fut ensuite renvoyée devant la haute cour irlandaise.
M. Schrems, contestait, en tant qu’utilisateur de Facebook, la validité des transferts de ses données par Facebook Ireland vers des serveurs de Facebook Inc. situés aux États-Unis. Ces transferts étaient réalisés sur le fondement de l’accord Safe Harbour, instauré par la décision de la Commission du 26 juillet 2000. Saisie par la Haute Cour de justice irlandaise, la CJUE avait invalidé l’accord Safe Harbour dans un arrêt du 6 octobre 2015.
L’accord Privacy Shield a été négocié et la Commission européenne a reconnu dans la décision d’exécution (UE) 2016/1250 du 12 juillet 2016 qu’il était de nature à assurer un niveau de protection des données à caractère personnel « essentiellement équivalent » aux exigences européennes.

L’autorité de contrôle irlandaise avait invité M. Schrems à reformuler sa plainte eu égard à l’accord Privacy Shield. Ce dernier a maintenu son argument selon lequel la législation américaine n’offrait toujours pas une protection suffisante des données à caractère personnel transférées vers ce pays.
Suite à l’abrogation du Safe Harbor, Facebook Ireland et Facebook Inc. fondent le transfert d’une grande partie des données à caractère personnel sur le fondement des CCT instaurées par la décision 2010/87/UE.
La validité même des clauses contractuelles types et du Privacy Shield étaient en cause dans le cadre de ce litige et la haute cour a décidé de saisir la CJUE d'un renvoi préjudiciel.

II) Analyse de la décision 16 Juillet 2020

Invalidation du Privacy Shield:

La CJUE a invalidé la décision d’adéquation portant sur le Privacy Shield, jugé incompatible avec les exigences d’adéquation posées par le RGPD mais également par la Charte Européenne des Droits Fondamentaux
Elle a ainsi considéré que le Privacy Shield ne constituait pas un mécanisme valide de transfert de données personnelles pour les raisons suivantes :
La Cour estime que la réglementation américaine relative aux programmes de surveillance massive menés par les autorités publiques entrainait des limitations de la protection des données personnelles transférées depuis l’UE et qu’elles étaient non conformes aux exigences minimales attachées au principe de proportionnalité. En effet, les exigences relatives à la sécurité nationale et à l’intérêt public priment sur la protection des données personnelles et les programmes de surveillance américains ne se limitent pas à ce qui est strictement nécessaire dans une société démocratique.

Elle relève qu’il n’y a pas de limitation selon la loi américaine concernant l’application de ces programmes de surveillance à des personnes non-américaines et ces personnes ne disposent pas de droits opposables aux autorités américaines devant les tribunaux.

En outre, la Cour remet en cause le mécanisme de médiation prévu par le Privacy Shield en ce qu’il ne permet pas de garantir aux personnes non américaines le droit à un recours effectif à accéder à un tribunal impartial.


La validité des clauses contractuelles types:

Dans son arrêt, la CJUE retient que les clauses contractuelles types, telles que prévues par la décision 2010/87/UE de la Commission du 5 février 2010, ne présentent aucun élément de nature à entacher leur validité.
La Cour a considéré que la validité de cette décision n'est pas remise en cause par le simple fait que les clauses types relatives à la protection des données figurant dans celle-ci ne lient pas, compte tenu de leur nature contractuelle, les autorités du pays tiers vers lequel les données peuvent être transférées.
Cependant, la décision met l’accent sur les obligations spécifiques imposées par les clauses type non seulement à l’exportateur mais aussi à l’importateur de données afin d’assurer que les données transférées sont traitées conformément aux droits fondamentaux garantis par la Charte européenne des droits fondamentaux.
La Cour rappelle que ce mécanisme contractuel prévu à l’article 46, 2, c) du RGPD « repose sur la responsabilisation du responsable du traitement ou de son sous-traitant établis dans l’Union ainsi que, à titre subsidiaire, de l’autorité de contrôle compétente ».

La CJUE soutient notamment que la décision 2010/87/CE impose à l’exportateur de données et au destinataire des données, l'obligation de vérifier, préalablement à tout transfert, en prenant en compte les circonstances du transfert, si le niveau de protection est respecté dans le pays tiers concerné.
Elle exige également à ce que l'importateur de données informe l'exportateur de données de toute incapacité à se conformer aux clauses types de protection des données et, le cas échéant, à toute mesure complémentaire à celles prévues par les clauses.
Dans le cas contraire, l’exportateur de données ne pourra pas conclure de CCT ou devra suspendre voire résilier le contrat avec l'importateur de données.
En outre, la Cour rappelle que, selon le RGPD, une autorité nationale de protection des données personnelles a le pouvoir mais aussi le devoir de suspendre ou mettre un terme au transfert de données lorsqu’elle considère, « à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers ».
Par conséquent, les circonstances de chaque transfert devront être évaluées sur la base d’une analyse au cas par cas. Ainsi pour déterminer si un transfert de données peut se faire sur la base des CCT, il est possible de regarder si les données personnelles concernées font l’objet ou sont susceptibles de faire l’objet d’une collecte massive de données par les autorités américaines ou encore par les agences de sécurité nationales selon la loi de surveillance « Foreign Intelligence Surveillance Act » (« FISA ») ou les décrets et directives stratégiques présidentiels (Executive Orders et Presidential Policy directives).

III) Les conséquences pour les entreprises

La conséquence première de cette décision est que la seule adhésion au « Privacy Shield » des entités américaines destinataires ne suffit plus à rendre légal le transfert de données depuis l’Union Européenne.
Malgré l’invalidité du Privacy Shield, il reste possible de recourir aux clauses contractuelles types ou aux règles d’entreprises contraignantes pour permettre le transfert des données personnelles de l’UE vers les États-Unis.
Ainsi, les entreprises qui officiaient sous le Privacy Shield vont devoir négocier des clauses types pour pouvoir continuer à recevoir des données personnelles provenant de l’UE.
Toutefois, même si les clauses contractuelles types sont une alternative, encore faut-il qu’elles accordent des garanties suffisantes. Or, en l’état de la législation américaine, il n’est pas certain que ce soit le cas.
En outre, bien que décision ne concerne que les Etats-Unis, elle impacte plus globalement les transferts de données vers des pays ne bénéficiant pas d’une décision d’adéquation tels que la Chine ou la Russie ou tout autre Etat ayant un système national de surveillance intrusif.