Dans son arrêt de juillet 2020, la CJUE s’est exprimée sur deux dispositifs légaux permettant le traitement de données personnelles en dehors de l’Union européenne : le Privacy Shield et les clauses contractuelles types. Le Privacy Shield a été jugé invalide par la Cour de justice européenne tandis que les clauses contractuelles types s’en sortent épargnées.

Prenant acte de cette décision, les communiqués sur le sujet se sont multipliés, chacun interprétant la décision à sa sauce. Pour l’ONG noyb, l’organisation de Max Schrems, le plaignant dans l’affaire ayant conduit à la décision de la CJUE, cette décision marque la fin du traitement des données vers les Etats-Unis : les entreprises (à l’instar de Facebook) qui traitent aux Etats-Unis des données personnelles de citoyens européens, ne pourront se prévaloir ni du Privacy Shield, ni des clauses contractuelles types pour justifier les transferts de données.

Mais du côté de Microsoft, le son de cloche est différent. «  Nous voulons être clairs : si vous êtes un client commercial, vous pouvez continuer à utiliser les services Microsoft conformément au droit européen. La décision de la Cour ne modifie pas votre capacité à transférer des données aujourd’hui entre l’UE et les Etats-Unis à l’aide du cloud Microsoft. » Comme le souligne le magazine en ligne Contexte, les différentes organisations représentant les acteurs du logiciel ne sont pas toutes à l’unisson sur le sujet : si la CCIA (Computer & Communication Industry Association) et l’Itif (Information Technology and Innovation Foundation) déplorent ainsi une décision créant une insécurité juridique, la Business Software Alliance, qui représente les intérêts des éditeurs logiciels, estime « qu’il n’y a pas péril en la demeure ».

La décision de la CJUE ne coupe pas immédiatement les ponts numériques entre l’Europe et les Etats-Unis : les échanges « nécessaires », encadrés par l’article 49 du RGPD, ne sont pas concernés. Mais pour beaucoup d’entreprises qui traitent des données personnelles aux Etats-Unis sans forcément obtenir l’accord exprès des utilisateurs, la question se pose.

Clauses types et décision d’adéquation

Pour comprendre un peu les questions qui se posent, il vaut mieux comprendre en détail les mécanismes affectés par la décision du 16 juillet. Comme l’explique Thibault Douville, professeur de droit à l’université de Caen, « la décision portait sur les mécanismes qui fournissent les garanties appropriées pour transférer les données personnelles hors de l’Union européenne : les clauses types et les décisions d’adéquation ».

Les clauses types sont un mécanisme qui pouvait être utilisé pour transférer des données vers n’importe quel pays en dehors de l’UE. Il s’agit d’un contrat passé entre deux entreprises visant à encadrer et garantir que les données transférées vers un destinataire basé dans un pays à l’extérieur de l’UE bénéficient bien d’une protection équivalente à celle offerte par le droit européen.

Les « décisions d’adéquation » sont un second mécanisme, qui permet à la Commission européenne de garantir que la protection des données personnelles offerte par un Etat tiers est équivalente à celle offerte par l’UE. Le Privacy Shield en était un exemple, mais d’autres accords de ce type sont également passés avec des pays comme le Japon.

La principale différence entre ces deux approches, c’est la question de la responsabilité : dans le cas d’une décision d’adéquation, la Commission européenne se porte garante de la légalité des transferts. « Mais dans le cas d’un recours aux clauses types, c’est au responsable des traitements de s’assurer que la protection des données et le respect des droits sont bien équivalents à ceux offerts par l’Union européenne », explique Thibault Douville. En l’absence du Privacy Shield, il va donc falloir que les entreprises qui souhaitent faire traiter des données personnelles aux Etats-Unis s’assurent que « le mécanisme choisi offre des garanties appropriées, et que la législation de l’Etat de réception permet effectivement de protéger les données des citoyens européens », poursuit Thibault Douville.

Insécurité juridique

Car si la décision de la justice européenne entérine bien le principe des clauses contractuelles types, la Cour ne s’exprime pas sur la validité de celles-ci dans le cas spécifique d’un transfert de données vers les Etats-Unis, comme c’est le cas dans l’affaire opposant Facebook à Max Schrems. « Avec les clauses contractuelles, c’est du cas par cas. Il n’est pas dit que certains transferts ayant lieu grâce au mécanisme des clauses types soient licites, ce sont les éventuels contentieux qui vont le révéler », explique Thibault Douville.

Dans le cas des Etats-Unis, le Privacy Shield permettait d’avoir recours aux clauses types sans risque : l’aval de la Commission européenne faisait ainsi office de blanc-seing. Mais l’arrêt de la CJUE met clairement en lumière les manquements de la législation américaine en matière de protection des données par rapport au cadre légal offert par l’Europe, notamment l’absence de recours face aux dispositifs légaux de surveillance américains pour les citoyens européens. Une autorité européenne de protection des données saisie dans une affaire de ce type pourrait donc suivre les conclusions de la cour et estimer que les protections offertes par les Etats-Unis sont insuffisantes pour autoriser un transfert et réclamer sa suspension ou son interdiction. C’est cette logique que retient noyb pour affirmer que les clauses types sont insuffisantes pour encadrer le transfert de données de l’Europe vers les Etats-Unis. C’est aussi cette analyse qui semble inquiéter la CCIA et l’ITIF.

La balle aux autorités de contrôle des données

C’est dans cette perspective que le rôle des autorités de protection des données sera déterminant dans les prochains jours : l’arrêt de la CJUE précise bien qu’en l’absence d’une décision d’adéquation, c’est aux autorités de contrôle de se prononcer sur la validité d’un transfert de données personnelles vers un pays tiers. La CJUE renvoie donc la balle vers les autorités de protection des données, et plus particulièrement l’autorité irlandaise, la « Data Protection Commission » (DPC). Celle-ci est concernée au premier chef par l’affaire, car elle est l’autorité de protection des données responsable de Facebook en Europe, le réseau social ayant choisi l’Irlande pour installer son siège social européen.

Celle-ci devra donc s’exprimer sur la validité du transfert. Dans son communiqué publié hier suite à la décision de la CJUE, elle souligne la complexité du sujet et indique vouloir agir de concert avec ses homologues européens. En France, la CNIL a également fait savoir qu’elle s’attelait « à une analyse précise de l’arrêt, en lien avec ses homologues européens réunis au sein du Comité européen pour la Protection des Données », afin « d’en tirer les conséquences pour les transferts de données de l’Union européenne vers les Etats-Unis ».

L’Office européen de protection des données a adopté la déclaration suivante:

L’EDPB se félicite de l’arrêt de la CJUE, qui souligne le droit fondamental à la vie privée dans le cadre du transfert de données à caractère personnel vers des pays tiers. La décision de la CJUE est d’une grande importance. L’Office européen de protection des données (EDPB) a pris note du fait que la Cour de justice invalide la décision 2016/1250 relative à l’adéquation de la protection prévue par le Bouclier de protection de la vie privée UE-États-Unis et du fait qu’elle considère que la décision 2010/87 de la Commission relative aux clauses contractuelles types (CSC) relative au transfert de données à caractères personnels aux transformateurs établis dans des pays tiers est valide.

L’EDPB a examiné la décision de la Cour lors de sa 34e session plénière du 17 juillet 2020.

En ce qui concerne le bouclier de protection de la vie privée, l’EDPB souligne que l’UE et les États-Unis devraient parvenir à un cadre complet et efficace garantissant que le niveau de protection accordé aux données à caractère personnel aux États-Unis est essentiellement équivalent à celui garanti au sein de l’UE, conformément à l’arrêt.

L’EDPB a identifié dans le passé quelques-unes des principales failles du Bouclier de protection de la vie privée sur lesquelles la CJUE motif sa décision de le déclarer invalide.

L’EDPB a remis en question dans ses rapports les examens conjoints annuels du Bouclier de protection de la vie privée sur le respect des principes de nécessité et de proportionnalité en matière de protection des données dans l’application de la loi américaine. (1)

L’EDPB a l’intention de continuer à jouer un rôle constructif dans la sécurisation d’un transfert transatlantique de données à caractère personnel qui profite aux citoyens et aux organisations de l’EEE et se tient prête à fournir à la Commission européenne une assistance et des conseils pour l’aider à construire, avec les États-Unis, un nouveau cadre qui est entièrement conforme à la législation de l’UE en matière de protection des données.

Bien que les CSC restent valables, la CJUE souligne la nécessité de veiller à ce que ces derniers maintiennent, dans la pratique, un niveau de protection essentiellement équivalent à celui garanti par le GDPR à la lumière de la Charte de l’UE. L’évaluation de la question de savoir si les pays vers lesquels les données sont envoyées offrent une protection adéquate relève principalement de la responsabilité de l’exportateur et de l’importateur, lorsqu’ils examinent s’il convient d’entrer dans des CSC. Lors de cette évaluation préalable, l’exportateur (si nécessaire, avec l’aide de l’importateur) prend en considération le contenu des CSC, les circonstances spécifiques du transfert, ainsi que le régime juridique applicable dans le pays importateur. L’examen de ce dernier est effectué à la lumière des facteurs non exhaustifs énoncés à l’art 45, paragraphe 2, du DGR.

Si le résultat de cette évaluation est que le pays de l’importateur ne fournit pas un niveau de protection essentiellement équivalent, l’exportateur pourrait devoir envisager de mettre en place des mesures supplémentaires à celles incluses dans les CSC. L’EDPB étudie plus en détail en quoi ces mesures supplémentaires pourraient consister.

L’arrêt de la CJUE rappelle également l’importance pour l’exportateur et l’importateur de se conformer à leurs obligations incluses dans les CSC, en particulier les obligations en matière d’information en ce qui concerne la modification de la législation dans le pays importateur. Lorsque ces obligations contractuelles ne sont pas ou ne peuvent pas être respectées, l’exportateur est tenu par les CSC de suspendre le transfert ou de résilier les CSC ou d’aviser son autorité de contrôle compétente s’il a l’intention de continuer à transférer des données.

L’EDPB prend note des obligations des autorités de contrôle compétentes (SA) de suspendre ou d’interdire un transfert de données à un pays tiers en vertu des CSC, si, de l’avis de l’AS compétente et compte tenu de toutes les circonstances de ce transfert, ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers, et que la protection des données transférées ne peut être assurée par d’autres moyens , en particulier lorsque le contrôleur ou un processeur n’a pas déjà lui-même suspendu ou mis fin au transfert.

L’EDPB rappelle qu’elle a publié des lignes directrices sur les dérogations à l’art 49 (2); et que ces dérogations doivent être appliquées au cas par cas.

L’EDPB évaluera le jugement plus en détail et fournira des précisions supplémentaires aux parties prenantes et des orientations sur l’utilisation d’instruments pour le transfert de données à caractère personnel vers des pays tiers conformément à l’arrêt.

L’EDPB et ses SA européennes sont prêtes, comme l’a déclaré la CJUE, à assurer la cohérence dans l’ensemble de l’EEE.

Pour l’Office européen de protection des données

La chaise

(Andrea Jelinek)