Un arrêt très attendu de la plus haute juridiction européenne vient d’être rendu. La Cour de Justice de l’Union Européenne (CJUE) a invalidé le bouclier de protection des données UE-Etats-Unis appelé « Privacy Shield » (décision 2016/1250). Ce dispositif adopté en 2016 autorisait les entreprises européennes à transférer des données personnelles hors UE, reconnaissant ainsi que la législation américaine offrait les mêmes garanties que le droit européen. En revanche, les « clauses contractuelles types » autorisant le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers, restent valides.

L’arrêt de la CJUE s’inscrit dans une longue série de décisions

L’affaire connue sous le nom de « Schrems II » (en référence à Maximillian Schrems, militant de la protection de la vie privée), dont les plaintes initiales sous-tendent la saga, a une histoire longue et alambiquée. Elle concerne le choc de deux régimes juridiques très différents liés aux données personnelles : D’une part, la loi américaine sur la surveillance et, d’autre part, la protection des données et de la vie privée en Europe.

En effet, dès son adoption, le « Privacy Shield » avait été attaqué par Schrems, déjà à l’origine de l’annulation du « Safe Harbor ». Parmi les nombreux recours déposés, l’un d’eux visait à interdire à Facebook de transférer les données de citoyens européens vers les Data Centers du réseau social implantés aux Etats-Unis. Saisie de cette demande, la « Data Protection Commission » (l’équivalent de la Cnil en Irlande) a estimé que la protection offerte aux données personnelles par les Etats-Unis était suffisante.

Or, en octobre 2015, la CJUE affirmait le contraire et invalidait le « Safe Harbor » (l’ancêtre du « Privacy Shield »). Suite à cette opposition, la « Data Protection Commission » a demandé à Schrems de reformuler sa plainte mais ce dernier a maintenu que les Etats-Unis n’offraient toujours pas de protection suffisante. Dans le même temps, en l’absence d’accord avec les autorités européennes, Facebook réalisait ses transferts sur le fondement des « clauses contractuelles types » adoptées par la Commission européenne.

Face à cet enchevêtrement, l’Irlande a transféré une question préjudicielle au juge européen, soit une procédure permettant à une juridiction nationale d’interroger la CJUE sur l’interprétation du droit de l’UE dans le cadre d’un litige dont elle est saisie. La Cour de justice est donc venue répondre à cette question, en invalidant le « Privacy Shield ».

La surveillance américaine est incompatible avec les droits fondamentaux de l’UE

En premier lieu, le juge européen estime que les programmes de surveillance américains ne sont pas compatibles avec les droits fondamentaux européens qui donnent aux citoyens des droits à la vie privée et à la protection des données, tels qu’ils sont énoncés dans la Charte des droits fondamentaux de l’UE, la Convention européenne des droits de l’homme ou encore, le Règlement général sur la protection des données (RGPD).

En second lieu, la Cour affirme que « les citoyens européens n’ont pas de recours effectifs aux Etats-Unis » leur permettant de maîtriser pleinement leurs données personnelles. Concrètement, cela signifie que le transfert des données personnelles vers les Etats-Unis comporte un risque.

Cette décision peut avoir des conséquences économiques potentiellement désastreuses, les entreprises ne pouvant plus transférer de données personnelles vers les Etats-Unis, sauf à violer la législation européenne en vigueur.  Toutefois, le Secrétaire américain au Commerce, M. Ross, a déclaré : « Nous avons été et nous resterons en contact étroit avec la Commission européenne et le Conseil européen de protection des données sur cette question et nous espérons pouvoir limiter les conséquences négatives sur la relation économique transatlantique de 7 100 milliards de dollars qui est si vitale pour nos citoyens, entreprises et gouvernements respectifs. Les flux de données sont essentiels non seulement pour les entreprises technologiques, mais aussi pour les entreprises de toutes tailles et de tous les secteurs. »

Renforcement important du RGPD

Dans cet arrêt, la Cour de justice a une fois de plus souligné l’importance des principes du Règlement général sur la protection des données (RGPD) en déclarant que « le droit des citoyens européens à la protection des données est absolument fondamental ».

La Cour a également clarifié que les autorités européennes ont « le devoir d’exercer leurs responsabilités pour assurer que le RGPD soit complètement appliqué avec toute la vigilance requise ». Jusqu’à présent, certaines autorités de protection des données ont estimé qu’elles disposaient d’un pouvoir discrétionnaire illimité leur permettant de fermer les yeux sur ces transferts. La Cour a maintenant mis fin à cette pratique.

Les transferts de données dits « nécessaires » vers les Etats-Unis peuvent continuer

La seconde partie de la décision confirme la licéité des « clauses contractuelles types » en matière de transfert de données hors UE, adoptées par la Commission européenne. La CJUE confirme que « les clauses contractuelles types offrent un niveau de garantie suffisant ». Elle laisse ainsi la possibilité aux entreprises de se conformer aux règles européennes en s’engageant individuellement et en respectant certaines précautions quant à l’usage des données de leurs utilisateurs européens. Mais dans les faits, comment prouver que ces données sont effectivement protégées lorsque la Cour vient de remettre en cause les programmes de surveillance américains ?

La Cour a ainsi précisé que les entreprises européennes et les destinataires non-européens des données ont le devoir de revoir leurs lois dans leur pays respectif. Concrètement, les « clauses contractuelles types » peuvent être utilisées par les entreprises que si ces lois ne sont pas incompatibles avec le droit européen. Si le niveau n’est pas équivalent à celui offert par la législation européenne, le responsable de traitement a l’obligation légale de suspendre les transferts de données.

En effet, « en l’absence d’une décision d’adéquation, un tel transfert ne peut être réalisé, que si l’exportateur de données à caractère personnel, établi dans l’Union, prévoit des garanties appropriées, pouvant notamment résulter de clauses types de protection des données adoptées par la Commission, et si les personnes concernées disposent de droits opposables et de voies de droit effectives », note la CJUE dans le communiqué de presse du 16 juillet 2020. Cette dernière fait ainsi référence à l’Article 49 du RGPD, qui énonce « les conditions dans lesquelles un tel transfert peut avoir lieu en l’absence d’une décision d’adéquation ou de garanties appropriées ».

En somme, les transferts de données absolument nécessaires peuvent continuer sur base de l’Article 49 du RGPD. Toute situation où les utilisateurs veulent que leurs données soient transférées à l’étranger est encore légale, puisque que cela peut avoir lieu sur base d’un consentement informé de l’utilisateur, qui peut être retiré à tout moment. De même, le RGPD permet le transfert de données lorsque cela est nécessaire pour l’exécution d’un contrat ou encore pour des motifs d’intérêt public. Il s’agit d’une base juridique solide pour la plupart des transactions aux Etats-Unis.

La CNIL devrait prochainement se prononcer sur les conséquences d’une telle décision puisqu’elle affirme procéder actuellement à son analyse précise au sein du Comité Européen pour la Protection des Données.

  • L’affaire concerne-t-elle tous les destinataires américains de données de l’UE ?

Non, elle ne concerne que les entreprises soumises aux lois de surveillance américaines (telles que la FISA 702) et les entreprises qui utilisent des prestataires qui relèvent de ces lois de surveillance américaines.

Concrètement, cela s’applique aux « fournisseurs de services de communication électronique » tels que les fournisseurs de services de cloud computing ou de services de voix sur Internet. Les industries telles que les banques, les compagnies aériennes et maritimes, les hôtels, les ventes de marchandises et similaires ainsi que les organisations à but non lucratif ne sont généralement pas comprises comme étant couvertes par ces lois. Il existe cependant une certaine ambiguïté au sujet de ces termes et de la loi américaine. Une clarification du gouvernement américain paraît nécessaire.

  • Quels sont les types de transfert de données concernés :

Dans cette affaire, sont concernés tout type de données à caractère personnel transférées par une entité depuis l’UE vers des sociétés établies aux Etats-Unis, notamment des données commerciales, de santé ou de ressources humaines.

Les entreprises de l’UE pourront cependant effectuer ce type de transfert sous le régime de l’article 49 du RGPD qui contient une liste de « dérogations » permettant de tels transferts de données.

A titre d’exemple, nous pouvons citer le cas de la « dérogation relative à un intérêt public important » (Article 49, paragraphe 1, point d) qui s’applique aussi bien aux personnes publiques qu’aux entités privées : il s’agit concrètement des échanges internationaux de données entre autorités ou entre services chargés des questions de sécurité sociale et de santé publique, par exemple aux fins de la recherche des contacts des personnes atteintes de maladies contagieuses (tel que le coronavirus, Covid-19).

  • Quelles sont les conséquences pour les entreprises et organismes du secteur public ?

Sur le plan pratique, cet arrêt rend désormais impossible tous recours basés sur le « Privacy Shield » par plus de 5 300 entreprises américaines et européennes (hébergeurs Saas, éditeur, etc.) qui utilisaient cette base juridique pour le transfert des données. Des exemples les plus connus sont Google, Amazon, Facebook, Microsoft, ect.

Ainsi, chaque organisme de l’UE, responsable de traitement ou sous-traitant, est chargé de s’assurer que les flux de données personnelles vers les États-Unis sont conformes au RGPD. Les entreprises devront désormais examiner de près tous ces flux de données et déterminer si elles doivent héberger des données en Europe ou dans tout autre pays offrant une meilleure protection de la vie privée, au lieu d’être transférées aux États-Unis.

Autre changement important, la CNIL pourra désormais suspendre ou interdire le transfert de données personnelles vers des pays qui selon elle, n’offrent pas un niveau de protection suffisant. Cette décision devrait donc renforcer la maitrise de la localisation des données en recourant à des entreprises qui peuvent garantir que les données personnelles restent en Europe. Il faut toutefois noter que cette localisation peut présenter des difficultés techniques ou s’avérer très onéreuse pour les petites et moyennes entreprises européennes.

La CJUE affirme que même si un pays comme les Etats-Unis n’offre pas suffisamment de garanties en matière de protection des données, les entreprises peuvent exporter des données vers ce pays si la protection des données est assurée par tous « moyens additionnels ». Cette expression reste assez floue mais nous pouvons imaginer qu’il peut notamment s’agir de solutions techniques telles que le cryptage des données transférées en utilisant des protocoles de chiffrement très robustes.

*Focus Actualités :

Concernant l’attribution du HDH à Microsoft (Cf. Ordonnance du Conseil d’Etat du 19 juin 2020), l’arrêt du 16 juillet 2020 ne devrait pas remettre en cause sa validité.

En effet, la décision de la CJUE ainsi que le RGPD ne s’appliquent qu’aux transferts de données à caractère personnel et en l’espèce, l’Ordonnance semble indiquer qu’il n’y aura pas de transfert de données personnelles (ni de données sensibles de santé) par Microsoft vers les Etats-Unis.

Sur ce point, le Conseil d’Etat a d’ailleurs mentionné qu’il y aurait « trois pseudonymisations successives » des données personnelles du HDH et l’utilisation de moyens de chiffrage obtenus « à partir d’une fonction cryptographique irréversible ».

Adeline Jaudin, juriste stagiaire chez Occitanie Data