Dans son arrêt du 16 juillet 2020, la CJUE a invalidé la décision n°2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis dit « Privacy Shield ».
Le « Privacy Shield » était un mécanisme d’auto-certification pour les entreprises établies aux Etats-Unis qui a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux États-Unis. Ainsi, de nombreuses entreprises européennes avaient recourt à ce mécanisme pour justifier la légitimité des transferts de données vers les Etats-Unis sans avoir à prendre d’autres mesures de protection.
En revanche, dans ce même arrêt du 16 juillet la CJUE valide, avec des réserves, les Clauses Contractuelles Types de la Commission européenne (« CCT »), qui sont un autre mécanisme permettant le transfert de données vers les Etats-Unis.
Quelles sont les conséquences de cet arrêt pour les transferts de données aux Etats-Unis ? Quelles sont les recommandations de la CNIL et du CEPD ? CLAIRMONT NOVUS vous explique tout.
1/ Le contexte de l’arrêt du 16 juillet 2020
Dans l’arrêt rendu, la CJUE était saisie d’une question préjudicielle dans le cadre d’un litige opposant l’activiste autrichien et défenseur des données personnelles, Maximilian Schrems, à Facebook (affaire « Shrems II »).
Selon l’opposant le transfert des données réalisé par Facebook Ireland vers les serveurs de Facebook Inc. n’offre pas une protection suffisante et demande de suspendre ou d’interdire les transferts vers les Etats-Unis.
M. Schrems avait déjà obtenu l’invalidation du Safe Harbor, l’accord conclu entre la Commission européenne et les Etats-Unis permettant le transfert de données avant le Privacy Shield(CJUE 6 oct. 2015, aff. C-362/14, « affaire Schrems » contre Facebook).
Depuis l’invalidation du Safe Harbor, Facebook se fondait sur les CCT pour le transfert international de données. Or, selon M. Schrems, ce fondement ignore également la protection des données à caractère personnel puisque le droit américain autorise notamment les autorités américaines à avoir accès aux données personnelles des ressortissants de l’Union européenne dans le cadre des programmes de surveillance aux fins du renseignement extérieur (PRISM, UPTREAM).
Dans le cadre de ce litige la Cour s’est donc prononcée quant à la validité des deux décisions de la Commission européenne :
- la décision 2010/87 relative aux clauses contractuelles types (CCT), qu’elle a validé, d’une part,
- et la décision d’exécution 2016/1250 relative à l’adéquation de la protection permise par le « Privacy Shield », qu’elle a invalidé, d’autre part,
2/ La validation des CCT
La CJUE juge que les clauses contractuelles types (CCT), telles que prévues par la décision 2010/87/UE de la Commission du 5 février 2010, ne présentent aucun élément de nature à entacher leur validité.
Toutefois, la CJUE ajoute que cette validité dépend de la question de savoir si les CCT comportent des mécanismes efficaces permettant, en pratique, d’assurer le respect d’une protection équivalente à celle garantie par le RGPD et de suspendre ou d’interdire les transferts de données personnelles opérés au moyen de telles clauses en cas de violation de ces clauses ou d’impossibilité de les respecter.
À cet égard, la CJUE rappelle notamment que la décision 2010/87/CE :
- impose à l’exportateur de données et au destinataire des données ( « importateur de données ») l’obligation de vérifier, préalablement à tout transfert, en prenant en compte les circonstances du transfert, si le niveau de protection est respecté dans le pays tiers concerné ;
- exige que l’importateur de données informe l’exportateur de données de toute incapacité à se conformer aux clauses types de protection des données et, le cas échéant, à toute mesure complémentaire à celles prévues par les clauses, l’exportateur de données étant alors, en contrepartie, tenu de suspendre le transfert de données et/ou de résilier le contrat avec l’importateur de données.
3/ L’invalidité du Privacy Shield
Dans le cadre de cette affaire Schrems II, la CJUE a également examiné la validité du Privacy Shield issu de la décision 2016/1250 sur le caractère adéquat de la protection assurée par le bouclier de protection de la vie privée entre l’UE et les États-Unis.
La CJUE a constaté que les programmes de surveillance américains, lesquels permettent aux autorités publiques américaines d’accéder aux données personnelles transférées de l’UE vers les États-Unis, ne comportent aucune limitation ni aucune garantie pour les personnes non américaines visées. En effet, le droit américain n’accorde pas aux personnes concernées des droits de recours devant les juridictions contre les autorités américaines.
L’ingérence des autorités publiques américaines porte ainsi nécessairement atteinte aux droits fondamentaux des ressortissants européens, raison pour laquelle le Privacy Shield ne permet plus une protection adéquate et doit être invalidé.
4/ Les conséquences de l’arrêt du 16 juillet 2020 pour le transfert de données vers les Etats-Unis
L’invalidation du Privacy Shield a un effet immédiat, par conséquent les exportateurs de données à caractère personnel, établis dans l’Union, doivent dès à présent réévaluer les conditions du transfert de données vers les Etats-Unis et trouver de nouvelles garanties appropriées conformes à l’article 46 du RGPD.
Tous les transferts qui continueront à être effectués vers les Etats-Unis sur le fondement du « Privacy Shield » seront illégaux.
Par ailleurs, si la CJUE n’a pas invalidé les CCT, les transferts qui sont effectués vers les Etats-Unis sur ce fondement devraient toutefois être réévalués et accompagnés de mesures supplémentaires, qui tiennent compte des circonstances des transferts.
Il en est de même pour les transferts fondés sur les BCR (« Binding Corporate Rule ») qui devraient, comme le recommande la CNIL, être réévalués et comporter des mesures supplémentaires afin de garantir que la législation américaine, et en particulier les programmes de surveillance américains, n’empiètent pas sur le niveau de protection adéquat des données personnelles. A noter, qu’il est encore possible de transférer des données vers les États-Unis sur la base des dérogations prévues à l’article 49 du RGPD, à condition que les conditions énoncées dans cet article s’appliquent (motifs importants d’intérêt public, défense de droits en justice, consentement explicite et spécifique, sauvegarde des intérêts vitaux, etc.)