Le 16 juillet dernier, la Cour de justice de l’Union européenne (CJUE) a invalidé l’accord sur le bouclier de protection de la vie privée (Privacy Shield) conclu entre la Commission européenne et les États-Unis. Il s’agit là d’un des nombreux épisodes d’un dossier pour le moins épineux qui démontre que le juge est encore et toujours le meilleur rempart pour la sauvegarde de nos droits fondamentaux à la protection des données personnelles et au respect de la vie privée.
Un dossier de longue date, la validité des transferts de données personnelles vers le territoire étasunien
L’accord Privacy Shield conclu entre les États-Unis et l’Union européenne relatif aux transferts de données personnelles de l’Union européenne vers les serveurs situés sur le territoire étasunien a été adopté dans la précipitation en réponse à l’annulation de son prédécesseur appelé sphère de sécurité (Safe Harbor) par la Cour de Justice de l'Union européenne (CJUE) le 6 octobre 2015[1]. Dans cet arrêt dit Schrems I, la CJUE donnait ici suite à la plainte déposée à l’encontre de Facebook Ireland par un jeune étudiant autrichien jusqu’ici inconnu, Maximilian Schrems. Ce dernier fondait son action sur les révélations d’Edward Snowden en 2013 sur les activités des services de renseignement américains[2].
Maximilian Schrems estimait que Facebook Ireland, en transférant ses données sur les serveurs de Facebook Inc. situés aux États-Unis, ne respectait pas son droit fondamental à la protection de ses données personnelles. Il déposa donc une plainte auprès de l’autorité irlandaise de contrôle, la Data Protection Commission, visant à faire interdire ces transferts. Cette autorité rejeta sa plainte au motif notamment que la Commission européenne avait constaté, dans sa décision 2000/520, que les États-Unis assuraient un niveau adéquat de protection via le safe harbor[3]. Saisie d’une question préjudicielle posée par la High Court (Haute Cour, Irlande), la Cour de Justice de l’Union européenne jugeait cette décision invalide dans l’arrêt Schrems I.
Si cette invalidation par la CJUE a marqué un tournant historique dans le traitement et l’échange des données personnelles dans notre monde numérique globalisé, elle n’a pas mis pour autant un terme à cette saga judiciaire. Suite à l’arrêt Schrems I et à l’annulation consécutive par la Haute Cour irlandaise de la décision rejetant la plainte de Maximilien Schrems, la Data Protection Commission a invité le demandeur à reformuler sa plainte.
Dans cette plainte reformulée le 1er décembre 2015, l’étudiant autrichien, devenu une figure militante reconnue de la protection des données personnelles, soutient que les États-Unis n’offrent pas de protection suffisante des données transférées vers leur pays. Il demande la suspension ou l’interdiction du transfert de ses données réalisé par Facebook Ireland. Ce transfert était alors fondé sur les clauses types figurant à l’annexe de la décision 2010/87 de la Commission européenne[4]. Estimant que le traitement de la plainte de M. Schrems dépend, notamment, de la validité de la décision 2010/87, la Data Protection Commission initie une procédure devant la High Court le 31 mai 2016 afin que celle-ci soumette une demande de question préjudicielle à la Cour de justice de l’UE.
Après l’ouverture de cette procédure, la Commission adopte le 12 juillet 2016 la décision (UE) 2016/1250 relative à l’adéquation de la protection assurée par le Privacy Schield. À cette époque, cette décision est loin de faire consensus. À peine adopté, le Privacy Schield suscite en effet une large variété de considérations allant au mieux de l’abstention de certains États membres (l’Autriche, la Bulgarie, la Croatie et la Slovénie) en passant par l'émissoion « d’importantes préoccupations » pour les autorités de contrôle européennes réunies au sein du groupe de l’article 29 (G29)[5], au pire à la polémique quant à sa réelle cohérence et son efficacité. Le Contrôleur européen de la protection des données avait alors craint la faiblesse juridique du Privacy Shield face à un examen rigoureux de la CJUE, et souligné qu’une solution à plus long terme devait être envisagée[6].
Cette faiblesse était encore plus questionnée, en janvier 2017, lorsqu’au détour de l’un des deux décrets anti-immigration consacré à la sécurité « intérieure des États-Unis », le Président américain, Donald Trump, excluait les citoyens non-américains et les non-résidents permanents du périmètre du Privacy Act encadrant l’utilisation des données personnelles par les agences fédérales étasuniennes. Un parlementaire européen, Jan Philipp Albrecht, avait d’ailleurs demandé à la Commission européenne de suspendre immédiatement le Privacy Shield[7]. En vain.
Pour autant, les déclarations de la Commission européenne, consécutives à la publication du premier examen annuel de l’accord le 18 octobre 2017, semblaient globalement optimistes et positives[8]. En effet, M. Andrus Ansip, Vice-président de la Commission chargé du marché unique numérique, soulignait : « ce premier réexamen démontre notre engagement à mettre en place un système de certification solide assorti de mesures de surveillance dynamiques », Mme Věra Jourová, Commissaire européenne à la justice, notant quant à elle que « notre premier réexamen montre que le bouclier de protection des données fonctionne bien, mais que sa mise en œuvre reste à améliorer »[9]. Au-delà de ces déclarations très diplomatiques, le rapport formulé en des termes plus nuancés listait de nombreux motifs d’amélioration.
Ces lacunes étaient détaillées dans un avis très critique du Comité européen à la protection des données suite de la troisième revue annuelle du Privacy Shield en novembre 2019[10]. On retiendra plus particulièrement l’insuffisance de supervision quant au respect des principes du Privacy Shield par les sociétés adhérentes, le manque d’information claire et facilement accessible pour les citoyens européens, les nombreuses interrogations quant à la collecte et à l’accès aux données par les autorités américaines à des fins de sécurité nationale (manque, notamment, de preuves ou de garanties juridiquement contraignantes sur l’absence de collecte de masse des données, de façon générale et indiscriminée ; ou encore, manque de contrôle de tous les programmes de surveillance), le report de la nomination d’un médiateur (Ombudsman) permanent (finalement nommé le 18 janvier 2019) ainsi que le défaut de mise en place du Privacy and Civil Liberties Oversight Board.
Dans ces conditions, et malgré certaines améliorations, la position de la Cour de Justice de l’Union européenne était plus qu’attendue. Sur le fond, l’arrêt Schrems II du 16 juillet 2020[11] est un arrêt majeur qui examine la validité des décisions de la Commission européenne :
- La décision 2010/87 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers,
- et la décision 2016/1250 relative au niveau d’adéquation de la protection assurée par le Privacy Shield[12].
L’invalidation de la décision 2016/1250 relative au Privacy Shield
La CJUE interprète donc les exigences découlant des dispositions du RGPD lu à la lumière de la Charte des droits fondamentaux garantissant le respect de la vie privée et familiale, la protection des données à caractère personnel et le droit à une protection juridictionnelle effective[13].
À cet égard, la Cour relève que la décision 2016/1250 consacre, à l’instar de la décision 2000/520 relatif au Safe Harbor, la primauté des exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation américaine. Cette primauté justifie ainsi des ingérences dans les droits fondamentaux des personnes dont les données personnelles sont transférées[14]. Ces limitations de la protection des données découlant de la réglementation interne étasuniennes ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises en droit de l’Union[15]. Un constat qui avait déjà été dressé par la Cour dans son arrêt Schrems I.
La Haute juridiction précise que si la réglementation étasunienne prévoit des exigences auxquelles sont tenues les autorités américaines lors de la mise en œuvre des programmes de surveillance concernés, cette même réglementation n’offre pas pour autant aux personnes concernées européennes des droits procéduraux équivalents à ceux des ressortissants étasuniens opposables aux autorités américaines devant les tribunaux.
En ce qui concerne la question de la protection juridictionnelle, la CJUE apprécie le mécanisme de médiation introduit la décision 2016/1250 Privacy Schield permettant aux personnes concernées de déposer des plaintes. Rappelons que ce mécanisme ne fournit pas une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union. Ainsi tant l’indépendance du médiateur (« Ombudsman ») prévu par ce mécanisme[16] que l’existence de normes habilitant ledit médiateur à adopter des décisions contraignantes à l’égard des services de renseignement américains sont remis en cause par la Cour[17]. Or, un recours judiciaire efficace a toujours été essentiel dans la jurisprudence européenne.
Des clauses contractuelles types validées, mais pas toujours suffisantes
En revanche, la CJUE confirme la validité de la décision 2010/87 de la Commission européenne relative aux clauses contractuelles types pour le transfert de données personnelles vers des sous-traitants établis dans des pays tiers[18]. Selon la Cour, cette décision comporte des mécanismes effectifs assurant, en pratique, le respect d’un niveau de protection équivalent au droit de l’Union et que les transferts de données fondés sur les clauses types soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer. La Cour rappelle que la décision 2010/87 instaure l’obligation préalable à tout transfert de données que l’exportateur des donnés et le destinataire du transfert vérifient le respect de l’équivalence du niveau de protection dans le pays tiers destinataire. En outre, la décision oblige le destinataire à informer préalablement l’exportateur des données de son éventuelle incapacité de se conformer aux clauses types. Ce dernier peut alors suspendre le transfert de données ou résilier le contrat conclu avec le destinataire.
Safe Harbor, Privacy Shield… quelles suites ?
Maximilian Schrems, désormais Président de l’ONG NOYB (None of Your Business que l’on pourrait traduire par « Cela ne vous regarde pas » ou « Ce ne sont pas vos oignons »), a salué la décision de la Cour et estimé que « comme l’UE ne changera pas ses droits fondamentaux pour plaire à la NSA, la seule façon de surmonter ce conflit est que les États-Unis introduisent des protections de la vie privée pour tous, y compris les étrangers. La réforme des lois de surveillance devient ainsi cruciale pour les intérêts commerciaux de la Silicon Valley »[19].
De son côté, le Contrôleur européen de la protection des données s’est félicité de cet arrêt historique précisant, en tant qu’autorité de contrôle des institutions, organes, offices et agences de l’UE, qu’il « analyse attentivement les conséquences de l’arrêt sur les contrats conclus par les institutions, organes, offices et agences de l’UE. L’exemple de sa récente enquête d’initiative sur l’utilisation par les institutions européennes des produits et services de Microsoft confirme l’importance de ce défi »[20].
De façon plus opérationnelle, le Comité européen de protection des données a pris acte des conséquences de l’arrêt Schrems II en publiant des premiers éléments de réponse dans une « foire aux questions » le 24 juillet[21]. Les autorités de contrôle européennes précisent que les transferts de données effectués par les quelque 5000 entreprises étasuniennes sur la base du Privacy Shield sont illégaux. Dès lors, les organismes ont deux options.
- La première option consiste à recourir aux clauses contractuelles types ou aux règles contraignantes d’entreprise[22] mais en prenant le risque, en cas de mauvaise appréciation factuelle, d’être en infraction avec le RGPD. Le responsable de traitement est en effet tenu de procéder à une évaluation au cas par cas des transferts de données à destination des États-Unis. Cette évaluation doit prendre en compte les circonstances des transferts, et les mesures supplémentaires mises en place par le responsable de traitement pour s’assurer du respect de garanties appropriées. L’ensemble de ces mesures doit assurer que la législation américaine ne puisse pas compromettre le niveau de protection adéquat.
- La seconde option est simple : stocker et traiter les données sur le sol européen.
Cette solution est d’ailleurs celle clairement prônée par Thierry Breton. Le commissaire européen au marché intérieur estime – comme le Président Trump – que les données des utilisateurs ne devraient pas être contrôlées par des puissances étrangères : « Les données des Européens devraient être stockées et processées en Europe »[23]. Et d’ajouter, si le message n’était pas suffisamment clair au regard de l’actualité (en particulier de l’affaire TikTok aux États-Unis) : “I’m not in the business of banning any company, I’m in the business of explaining very clearly what our rules are.”[24]
Claire Levallois-Barth, Maître de conférences en droit à Télécom Paris, Coordinatrice de la Chaire VP-IP
[1] Voir à cet égard, C. Levallois-Barth, I. Meseguer, « Privacy Shield : un bouclier à peine brandi déjà ébréché ? », Chaire Valeurs et Politiques des Informations Personnelles, éditorial de la Lettre trimestrielle de décembre 2016, https://cvpip.wp.imt.fr/2016/12/05/privacy-shield-un-bouclier-a-peine-brandi-deja-ebreche/.
[2] Arrêt de la CJUE du 6 octobre 2015, Grande chambre, Schrems, C-362/14, https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62014CJ0362. Voir également communique de presse n° 117/15 de la CJUE, https://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fr.pdf.
[3] Décision 2000/520/CE de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique [notifiée sous le numéro C(2000) 2441], JOUE L 215/7 du 25 aout 2000. https://eur-lex.europa.eu/legal-content/fr/ALL/?uri=CELEX%3A32000D0520
[4] Décision 2010/87 de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil [notifiée sous le numéro C(2010) 593], JOUE L 39/5 du 12 février 2010, https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32010D0087.
[5] Déclaration du G29 relative à la décision de la Commission européenne concernant le Privacy Shield (bouclier de protection des données UE-États-Unis), 29 juillet 2016, https://www.cnil.fr/fr/declaration-du-g29-relative-la-decision-de-la-commission-europeenne-concernant-le-privacy-shield.
[6] PRESS RELEASE EDPS/2016/11, Brussels, 30 May 2016, Privacy Shield: more robust and sustainable solution needed, https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/PressNews/Press/2016/EDPS-2016-11-PrivacyShield_EN.pdf.
[7] Jan Philipp Albrecht, @JanAlbrecht, « If this is true @EU_Commission has to immediately suspend #PrivacyShield & sanction the US for breaking EU-US umbrella agreement. #CPDP2017”, 26 janvier 2017, https://twitter.com/search?q=sanction%20the%20US%20for%20breaking%20EU-US%20umbrella%20agreement&src=typed_query.
[8] Rapport de la Commission au Parlement européen et au Conseil sur le premier examen annuel du fonctionnement du bouclier de protection des données UE-États-Unis Bruxelles, COM(2017) 611 final du 18 octobre 2017, https://ec.europa.eu/transparency/regdoc/rep/1/2017/FR/COM-2017-611-F1-FR-MAIN-PART-1.PDF.
[9] Bouclier de protection des données UE-États-Unis: le premier réexamen montre qu’il fonctionne mais que sa mise en œuvre peut être améliorée, communiqué de presse du 18 octobre 2017 ; Bruxelles, IP/17/3966, https://ec.europa.eu/commission/presscorner/detail/fr/IP_17_3966.
[10] European Data Protection Board, EU - U.S. Privacy Shield - Third Annual Joint Review adopted on 12 November 2019, https://edpb.europa.eu/sites/edpb/files/files/file1/edpbprivacyshield3rdannualreport.pdf_en.pdf.
[11] Arrêt de la CJUE, Grande chambre, du 16 juillet 2020, Schrems, C‑311/18, http://curia.europa.eu/juris/document/document.jsf?docid=228677&doclang=FR. Voir également communiqué de presse n° 91/20 de la CJUE, https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fr.pdf.
[12] Décision d’exécution (UE) 2016/1250 la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis - [notifiée sous le numéro C(2016) 4176], JOUE L 207/1 du 1er août 2016, https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016D1250.
[13] Charte des droits fondamentaux de l’Union européenne.
[14] CJUE, arrêt du 16 juillet 2020, aff. C‑311/18, précité, point 86.
[15] CJUE, arrêt du 16 juillet 2020, aff. C‑311/18, précité, point 185.
[16] Le Président Trump a licencié d’abord l’inspecteur général pour la communauté du renseignement en avril 2020, puis l’inspecteur général pour le département d’État en mai 2020. Dans de telles conditions, il est difficile de croire à une quelconque indépendance.
[17] CJUE, arrêt du 16 juillet 2020, aff. C‑311/18, précité, point 196.
[18] CJUE, arrêt du 16 juillet 2020, aff. C‑311/18, précité, point 148 et 149.
[19] “As the EU will not change its fundamental rights to please the NSA, the only way to overcome this clash is for the US to introduce solid privacy rights for all people – including foreigners. Surveillance reform thereby becomes crucial for the business interests of Silicon Valley." Traduction libre, 16 juillet 2020, https://noyb.eu/en/cjeu.
[20] “The EDPS is carefully analyzing the consequences of the judgment on the contracts concluded by EU institutions, bodies, offices and agencies. The example of the recent EDPS’ own-initiative investigation into European institutions’ use of Microsoft products and services confirms the importance of this challenge”. Traduction libre, EDPS Statement following the Court of Justice ruling in Case C-311/18 Data Protection Commissioner v Facebook Ireland Ltd and Maximilian Schrems (“Schrems II”), 17 juillet 2020, https://edps.europa.eu/press-publications/press-news/press-releases/2020/edps-statement-following-court-justice-ruling-case_en.
[21] Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 - Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems, 24 juillet 2020, https://edpb.europa.eu/our-work-tools/our-documents/ovrigt/frequently-asked-questions-judgment-court-justice-european-union_en. Voir pour un résumé : CNIL, Invalidation du « Privacy Shield » : les premières questions-réponses du CEPD, 31 juillet 2020, https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-premieres-questions-reponses-du-cepd.
[22] À défaut, le transfert peut être basé sur l’une des dérogations prévues à l’article 49 du RGPD, à savoir le consentement explicite de la personne concernée, la nécessité de l’exécution d’un contrat entre la personne concernée et le responsable de traitement ou un contrat conclu dans l’intérêt de la personne concernée, un motif d’intérêt public, la sauvegarde des intérêts vitaux, etc.
[23] 2 septembre 2020, https://twitter.com/ThierryBreton/status/1301044787831885825?s=20.
[24] « Je n’ai pas pour mission d’interdire une entreprise, mais d’expliquer très clairement quelles sont nos règles ». 1er septembre 2020, https://twitter.com/LauKaya/status/1300695978098524160?s=20.