France: Transfert International De Données Vers Les Etats-Unis – La Cour De Justice De L'Union Européenne Invalide Le Privacy Shield

Le Bouclier de Protection des Données UE-Etats-Unis, dit «Privacy Shield» qui permettait le transfert de données personnelles depuis l'Union européenne vers les Etats-Unis en conformité avec le RGPD vient d'être invalidé par la Cour de justice de l'Union européenne le 16 juillet 2020¹.

Retour sur cette décision et son impact sur les transferts de données vers les Etats-Unis.

Le Privacy Shield, qu'est-ce que c'est?

Le règlement européen général relatif à la protection des données, dit RGPD, adopté le 14 avril 2016 et applicable depuis le 25 mai 2018², prévoit que le transfert de données personnelles vers un pays tiers n'est possible que si ce pays tiers assure un niveau de protection adéquat de ces données.

Pour permettre aux grandes entreprises américaines de continuer à traiter les données personnelles de leurs utilisateurs européens, un accord a été établi entre l'Union européenne et les Etats-Unis: le Bouclier de protection des données UE-Etats-Unis, dit Privacy Shield. Cet accord a été entériné par la décision 2016/1250 du 12 juillet 2016³ de la Commission européenne établissant que les Etats-Unis, en tant que pays tiers, offrirait un niveau de protection adéquat des données personnelles⁴, permettant en conséquence le transfert desdites données.

Pourquoi la Cour de justice de l'Union européenne a-t-elle invalidé ce mécanisme?

Monsieur Maximillian Schrems, ressortissant autrichien utilisateur de Facebook, s'était opposé au transfert de ses données personnelles vers les Etats-Unis par Facebook arguant de l'insuffisance de protection des données transférées vers ce pays.

Suite à la plainte de Monsieur Schrems, l'autorité de contrôle irlandaise a saisi la High Court of Justice afin d'interroger à titre préjudicielle la Cour de justice de l'Union européenne sur le caractère adéquat de la protection des données personnelles transférées vers les Etats-Unis.

Contre toute attente, la Cour de Justice européenne a décidé le 16 juillet 2020 que le niveau de protection des données offert par le Privacy Shield était insuffisant et a invalidé la décision 2016/1250 de la Commission européenne.

En effet, la réglementation interne américaine implique des limitations importantes à la protection des données à caractère personnel, justifiées notamment par des intérêts de sécurité publique, de défense et de sûreté de l'Etat – en particulier afin de permettre la mise en place de certains programmes de surveillance.

La Cour de justice considère que ce type de limitations, et les ingérences qu'elles entraînent dans les droits fondamentaux des personnes dont les données sont transférées, ne sont pas suffisamment encadrées, ou en tout cas insuffisamment au regard des règles de l'Union européenne : aux Etats-Unis, les programmes de surveillance ne sont pas limités au strict nécessaire, comme le dicterait au sein de l'Union européenne le principe de proportionnalité.

En outre, le Privacy Shield ne prévoit qu'un mécanisme de médiation en cas de contestation. La Cour considère qu'un tel mécanisme ne constitue pas une voie de recours offrant des garanties équivalentes à celles offertes dans l'Union européenne, à savoir l'indépendance de l'organe saisi et le caractère contraignant des décisions rendues.

En conséquence, la Cour conclut que les Etats-Unis n'assurent pas, en tant que pays tiers, un niveau de protection adéquat aux données personnelles transférées depuis l'Union européenne: le Privacy Shield est invalidé.

Quel est l'impact de cette décisioneuropéenne ? Comment appréhender désormais les transferts de données personnelles vers les Etats-Unis?

Suite à cette décision, se pose évidemment la question du transfert des données personnelles vers les Etats-Unis pour l'avenir.

Si le Privacy Shield a été invalidé, le transfert des données reste malgré tout possible sur un autre fondement.

Le RGPD prévoit en effet qu'en l'absence de décision d'adéquation de la Commission, ce qui est désormais le cas, le transfert ne peut être réalisé que si l'exportateur de données établi dans l'Union prévoit des garanties appropriées⁵, notamment des clauses contractuelles types de protection des données adoptées par la Commission et des droits opposables et des voies de droit effectives pour les personnes concernées.

Or une décision de la Commission européenne 2010/87 du 5 février 2010⁶ avait justement mis en place des clauses contractuelles types de protection des données personnelles pour les transferts à des sous-traitants établis dans des pays tiers. Dans sa décision du 16 juillet 2020, la Cour de justice européenne a reconnu la validité de cette décision 2010/87.

Néanmoins, la Cour soumet la validité de ce mécanisme subsidiaire à des garanties appropriées, à savoir l'existence de mécanismes effectifs pour assurer la protection des données, et qui, à défaut, permettent la suspension ou l'interdiction du transfert en cas de violation des clauses contractuelles.

En d'autres termes, le transfert de données personnelles vers les Etats-Unis reste désormais possible sur le fondement de clauses contractuelles types, à condition d'être accompagné de garanties appropriées permettant d'assurer la protection des données personnelles transférées.

Footnotes

1 http://curia.europa.eu/juris/document/document.jsf;jsessionid=E489C9F037E1C39B0D0568A77E56C0F7?text=&docid=228677&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first∂=1&cid=12081033

2 https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

3 https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016D1250

4 Conformément à l'article 45 du RGPD

5 Article 46 du RGPD

6 https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32010D0087

Pour lire en Anglais, veuillez cliquer ici.

Originally published 12 August, 2020

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.