Articles
L’invalidation du privacy shield par la CJUE
Les transferts de données personnelles de l’Espace Economique Européen vers les Etats-Unis sont-ils encore possibles ?
Le 16 juillet 2020, la Cour de Justice de l’Union Européenne (CJUE) a invalidé le privacy shield1, l’un des principaux dispositifs permettant le transfert de données personnelles de l’Espace Economique Européen (EEE) vers les Etats-Unis.
Pourquoi le sujet est-il important ?
Les transferts de données personnelles vers les Etats-Unis sont quotidiens et concernent tout à chacun : par exemple, entreprises stockant des données dans le cloud via un prestataire dont les serveurs sont situés outre-Atlantique, ou simples utilisateurs de réseaux sociaux américains.
Ainsi, le commerce transatlantique représente une valeur économique de 7.100 milliards de Dollars et plus de 5.000 entreprises américaines ont eu recours au privacy shield pour encadrer l’importation de données personnelles provenant d’Europe.
Par ailleurs, transférer des données personnelles en dehors de l’EEE implique le respect de règles impératives notamment sanctionnées par des amendes administratives pouvant s'élever jusqu'à 20 000 000 Euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent (article 83 du Règlement Général sur la Protection des Données [RGPD])
Les transferts de données personnelles en dehors de l’EEE sont soumis à conditions
Sauf quelques exceptions, des données personnelles ne peuvent être transférées en dehors de l’EEE que si les personnes concernées bénéficient d’un niveau de protection considéré comme adéquat au regard des standards européens.
Pour ce faire, le RGPD prévoit plusieurs mécanismes, parmi lesquels :
- les décisions d’adéquation : après examen des règles applicables en matière de protection des données personnelles dans un pays déterminé, la Commission Européenne peut décider que tel pays protège suffisamment les données personnelles et ainsi rendre une décision autorisant expressément les transferts à destination de ce pays.
C’est sur ce fondement juridique qu’en 2016 le privacy shield a été considéré par la Commission Européenne comme constituant une base valable pour transférer certaines données personnelles vers les Etats-Unis2.
- les clauses contractuelles types : la Commission Européenne et la CNIL3, ainsi que ses homologues européens ont élaboré des modèles de contrats encadrant les transferts de données personnelles et pouvant être utilisés par les exportateurs et les importateurs de données pour encadrer leurs relations en la matière. En particulier, ils s’engagent à garantir certains droits aux personnes dont les données sont traitées.
- les règles d’entreprises contraignantes : il s’agit d’un code de conduite contraignant qui régit les transferts de données au sein d’un ensemble d’entreprises en assurant une protection des données personnelles et des personnes concernées équivalente à celle conférée par le RGPD.
- Les codes de conduites : ils consistent en un ensemble de bonnes pratiques, juridiquement contraignantes, élaborées par des organisations représentatives de secteurs d’activité et imposant à leurs adhérents de respecter les règles éditées par le RGPD.
Le contexte dans lequel la CJUE a rendu sa décision
M. Schrems est un ressortissant européen utilisateur de Facebook, dont les données personnelles sont transférées aux Etats-Unis où elles font l’objet d’un traitement, comme c’est le cas pour les utilisateurs européens de ce réseau social.
Depuis plusieurs années, il se bat pour faire interdire ce transfert de données. En 2015, son action avait abouti à l’invalidation du safe harbour, dispositif encadrant les transferts de données personnelles vers les Etats-Unis et dont la disparition a conduit à l’élaboration du privacy shield.
En effet, il estime que le droit et la pratique américaines ne garantissent pas une protection suffisante des données personnelles, en raison du caractère généralisé et indifférencié des données collectées en masse par les services secrets locaux, et de l’absence d’encadrement judiciaire de cette collecte lorsqu’elle concerne des données de ressortissants non-américains.
Dans un premier temps, la plainte déposée par M. Schrems auprès de l’équivalent irlandais de la CNIL afin d’interdire les transferts de données vers les Etats-Unis réalisés par la filiale irlandaise de la société Facebook Inc. est rejetée. M Schrems forme alors un recours judiciaire contre cette décision.
Dans ce contexte, la Haute Cour de Justice irlandaise demande à la CJUE d’apprécier la validité des décisions de la Commission Européenne ayant, pour l’une, considéré que le mécanisme du privacy shield constitue une base permettant de transférer valablement des données personnelles vers les Etats-Unis, et, pour l’autre, adopté les clauses contractuelles types.
La décision de la CJUE
Tout d’abord, elle juge que le dispositif des clauses contractuelles types adopté par la Commission Européenne est valable, de sorte que le recours à ces clauses peut, par principe, permettre le transfert de données personnelles en dehors de l’EEE.
Toutefois, elle précise qu’il appartient aux responsables de transferts de données d’examiner si la mise en œuvre de ces clauses garantit effectivement aux personnes concernées un niveau de protection suffisant au regard de celui offert en Europe.
Pour ce faire, il convient de prendre en compte la législation du pays vers lequel les données sont transférées, notamment au regard d’un éventuel accès des autorités publiques de ce pays aux données ainsi transférées.
S’il s’avère lors de cet examen que les clauses contractuelles types ne peuvent pas être respectées dans le pays de transfert, soit elles doivent être complétées par des mesures complémentaires destinées à assurer un niveau de protection suffisant aux données, soit le transfert de données doit être stoppé.
Pour ce qui est du privacy shield, la Cour invalide purement et simplement la décision de la Commission Européenne ayant considéré qu’il pouvait permettre le transfert de données personnelles vers les sociétés américaines adhérentes à ce dispositif.
En effet, selon la Cour, les Etats-Unis n’offrent pas un niveau de protection des données personnelles adéquat au regard des exigences européennes, dans la mesure où les services secrets procèdent à une collecte « « en vrac » [sic] (…) d’un volume relativement important de données » et où les ressortissants non-américains ne peuvent pas recourir à un juge pour faire respecter leurs droits par suite des ingérences des autorités publiques.
Et maintenant, exportateurs et importateurs de données, que faire ?
La décision de la CJUE est d’effet immédiat.
En conséquence, les transferts de données opérés vers les Etats-Unis qui sont exclusivement fondés sur le privacy shield, et qui ne rentrent pas dans une exception prévue par le RGPD, doivent dès maintenant être stoppés.
D’ailleurs, l’association de M Schrems a d’ores et déjà déposé des plaintes auprès de différentes CNIL européennes à l’encontre d’entreprises continuant à transférer des données aux Etats-Unis sur la base du privacy shield4, et il semblerait que, tirant les conclusions de l’arrêt de la CJUE, la CNIL irlandaise ait initié une procédure visant à ce que Facebook Ireland cesse les transferts de données vers les Etats-Unis .
En outre, en raison de la motivation de cet arrêt, sa portée dépasse le cadre du seul transfert de données vers les Etats-Unis5.
En effet, le principe posé est point de transfert de données personnelles vers les pays qui ne respectent pas les standards européens en matière de libertés individuelles. L’on peut donc s’interroger sur la licéité de transferts réalisés vers des pays tels que la Chine ou la Russie.
Le premier enseignement de cet arrêt est donc de conduire les exportateurs et les importateurs de données personnelles à recenser les transferts réalisés en dehors de l’EEE.
Ensuite, se pose la question de savoir dans quelle mesure des données personnelles peuvent être transférées en dehors de l’EEE.
La reconnaissance de la validité de principe des clauses contractuelles types peut conduire à penser qu’elles constituent la solution à adopter. Or, à notre sens, cette analyse doit être nuancée.
En effet, selon la Cour, le dispositif des clauses contractuelles type est valable car, le contenu des clauses permet dans l’absolu d’assurer un niveau de protection suffisant, en particulier, lorsqu’il s’agit de combler les lacunes de législations étrangères.
Toutefois, elle précise qu’il convient d’apprécier au cas par cas, si la règlementation du pays de destination, et en particulier le pouvoir d’ingérence des services secrets, peut ou non faire échec aux garanties conférées par ces clauses.
Or, s’agissant des Etats-Unis, si la Cour a jugé que la règlementation locale ne garantit pas suffisamment les droits des personnes concernées dans le cadre des transferts fondés sur le privacy shield, le même raisonnement peut s’appliquer vis-à-vis des transferts de données opérés sur le fondement des clauses contractuelles types.
En conséquence, un transfert de données vers des pays où les intrusions des pouvoirs publics dans la sphère privée sont excessifs et ne sont pas soumis au contrôle du juge, ne devrait pas pouvoir être couvert par le seul recours aux seules clauses contractuelles types.
Au demeurant, la Cour indique que ces clauses peuvent être complétées par des mesures additionnelles. Quelles pourraient-elles être ?
Aucune solution certaine n’est encore arrêtée officiellement. A ce titre, la CNIL indique, à l’instar de ses homologues européens, réfléchir encore aux conséquences de l’arrêt de la Cour6.
Au vu de la position de la Cour, ces mesures complémentaires devront en toute hypothèse être appréciées au cas par cas, en particulier au regard de la nature des données personnelles concernées par le transfert.
S’il est donc difficile de généraliser, à ce stade de l’analyse, compte tenu du degré d’ingérence des autorités américaines, de telles mesures complémentaires pourraient éventuellement consister au recours au cryptage des données transférées (sous réserve qu’il ne puisse être déchiffré par les autorités publiques du pays de destination7) accompagné de l’information des personnes concernées des pratiques des autorités publiques et donc des risques auxquels elles sont exposées en voyant leurs données personnelles transférées dans le pays de destination.
Par ailleurs, le RGPD prévoit d’autres modes de transfert des données personnelles en dehors de l’EEE, en particulier les règles contraignantes d’entreprises et les codes de conduites.
Toutefois, dans la mesure où la Cour a invalidé le privacy shield en raison du degré d’ingérence des pouvoirs publics américains, il serait cohérent de supposer que ce même obstacle se retrouvera également à l’égard des données transférées au moyen d’autres dispositifs de nature purement juridique et/ou organisationnelle.
Les dérogations prévues par le RGPD aux transferts de données en cas d’absence de décision d’adéquation et de mesures destinées à donner aux personnes concernées des garanties appropriées, pourraient-elles trouver application ?
Les transferts strictement nécessaires, notamment pour l’exécution d’un contrat ou la sauvegarde des intérêts d’une personne, sont encore possibles puisqu’ils sont expressément prévus à l’article 49 RGPD.
Toutefois, ils s’entendent de manière restrictive. En ce sens, le considérant 111 du RGPD indique qu’un transfert de données personnelles uniquement justifié par l’exécution d’un contrat doit être occasionnel.
En conséquence, l’article 49 du RGPD ne devrait pas pouvoir être utilisé pour encadrer des transferts de données hors EEE réalisés dans le cadre de contrats où les données sont au cœur de la prestation proposée, par exemple services de réseaux sociaux ou de stockage en ligne.
Dans ce cas, reste alors la question de savoir si le consentement de la personne concernée au transfert de ses données personnelles vers un pays où elles seraient insuffisamment protégées pourrait valider ce transfert.
Fonder un transfert de données sur le consentement n’est pas la panacée notamment parce qu’il doit être obtenu préalablement au transfert et parce qu’il peut être retiré à tout moment.
Toutefois, compte tenu des freins posés par la CJUE aux transferts de données, peut-être pourrait-il s’agir là d’une voie pragmatique permettant de continuer à exporter des données personnelles ?
D’ailleurs, alors que le Comité Européen de la Protection des Données (l’équivalent européen de la CNIL) était plutôt réservé vis-à-vis du recours au consentement il semble aujourd’hui plus ouvert à cet égard8.
Enfin, d’autres modalités de transfert des données pourraient également consister en l’anonymisation ou, de manière moins radicale, dans le recours à la pseudonymisation, lorsque seuls les exportateurs et les importateurs de données peuvent re-corréler les informations.
*
* *
La décision de la CJUE représente une sérieuse entrave aux transferts de données vers les Etats-Unis et, plus largement, vers les pays dont le système politique et juridique est considéré, au regard des standards européens, comme protégeant insuffisamment les droits des citoyens.
Sur un plan idéologique, elle peut être perçue comme une avancée puisqu’elle concrétise une volonté d’affirmation des principes fondamentaux tels qu’entendus en Europe et encadrant a minima les ingérences étatiques dans la sphère privée.
Cette décision peut également être comprise comme une marque d’affirmation européenne sur l’échiquier politique, destinée à conduire les entreprises à (re)localiser leurs outils en Europe. En effet, de nombreuses sociétés étrangères proposant des services en ligne disposent de filiales en Europe ; pourquoi n’y implanteraient-elles pas également leurs serveurs pour éviter de procéder à des transferts de données potentiellement illégaux ?
Ou bien, pourquoi ne pas recourir à des best practices au regard des exigences de protection des données posées par le RGPD, en travaillant avec des prestataires européens ?
A cet égard, et dans la perspective de moins dépendre des prestataires américains (et chinois), la France et l’Allemagne cherchent depuis la fin 2019 à développer « une infrastructure de données européennes sécurisée et souveraine, et des entrepôts de données »9.
Quoi qu’il en soit, la Commission Européenne et les autorités américaines ont d’ores et déjà initié des négociations pour tenter d’aboutir à un dispositif de remplacement du privacy shield10.
En outre, une prise de position de la CNIL et de ses homologues européens destinée à éclairer la position des exportateurs et importateurs de données personnelles devraient raisonnablement prochainement intervenir.
L’on peut donc espérer que de nouvelles règles voient rapidement le jour.
Le sujet est donc à suivre de près, puisque :
- dès maintenant, le principe d’accountability fait peser sur les exportateurs et les importateurs de données la responsabilité de protéger suffisamment les données transférées et les droits des personnes concernées,
- le moment venu, ils devront veiller à leur conformité au regard des nouvelles règles qui auront été adoptées.
Plasseraud IP se tient naturellement à vos côtés pour vous aider à élaborer des solutions pragmatiques et sécurisantes.
3Commission Nationale Informatique et Libertés, l’autorité française de contrôle en matière de données personnelles
4101 Plaintes déposées sur les transferts UE-USA
5Ireland to Order Facebook to Stop Sending User Data to U.S.
7La réserve n’est pas des moindres car des autorités publiques telles que celles officiant aux Etats-Unis disposent de moyens conséquents pour parvenir au déchiffrement de données cryptées. Par exemple, en 2016, le FBI est parvenu à décrypter les données d’un téléphone alors que le fabricant refusait de coopérer (https://www.presse-citron.net/furieux-contre-apple-le-fbi-est-parvenu-a-decrypter-les-donnees-de-liphone-dun-terroriste/).
10Vers un second Privacy Shield ? L'Union européenne et les Etats-Unis en discussion