Le 16 juillet 2020, la Cour de Justice de l’Union Européenne a rendu sa décision concernant les mécanismes de transfert de données à caractère personnel aux Etats-Unis.
Elle annule le Privacy Shield en considérant que les données ne sont pas suffisamment protégées puisque les autorités américaines peuvent y avoir accès au titre de lois et règlementations liés au renseignement (1).
En revanche, elle n’invalide pas le mécanisme des Clauses Contractuelles Types (version sous-traitant) mais avance tout de même quelques recommandations pour les transferts aux USA (2).
- L’ANNULATION DU PRIVACY SHIELD
Le Privacy Shield, comme son ancêtre le Safe Harbor était un mécanisme américain d’auto-certification des entreprises en matière de protection des données personnelles.
Les USA, grâce à ce mécanisme, avait été considéré comme pays « adéquat » par la Commission européenne (décision 2016/1250 du 12 juillet 2016), permettant ainsi aux entreprises européennes de transférer des données personnelles aux USA (sous réserve naturellement que l’entreprise américaine soit inscrite sur la liste gouvernementale du Privacy Shield).
La Cour de Justice a été ici amenée à examiner si les programmes de surveillance mis en place aux Etats-Unis (notamment un accès à des données en grande quantité en transit vers les États-Unis sans que cet accès fasse l’objet d’une quelconque surveillance judiciaire) et pouvant concerner des ressortissants non-américains (donc européens), étaient mis en œuvre dans le respect des exigences de proportionnalité et de respect des droits des personnes.
Précisons que des limitations peuvent être parfois apportées à la protection des données et de la vie privée, mais seulement si elles sont nécessaires et répondent à des objectifs d’intérêt général. Pour respecter l’exigence de proportionnalité prévue par le RGPD, les dérogations à la protection des données à caractère personnel doivent s’opérer dans les limites du strict nécessaire. Ainsi, une texte limitant la protection des données ou de la vie privée, doit prévoir des règles claires et précises régissant la portée et l’application de la mesure afin d’éviter les risques d’abus.
En analysant la décision ayant validé le Privacy Shield par rapport à la Charte des droits fondamentaux, la Cour de Justice relève que la réglementation interne des Etats-Unis portant sur l’accès et l’utilisation par les autorités publiques américaines de données dans le cadre de certains programmes de surveillance, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union : la réglementation en question ne fait ressortir d’aucune manière l’existence de limitations à l’habilitation qu’elle comporte pour la mise en œuvre de ces programmes, pas plus que l’existence de garanties pour des personnes non américaines potentiellement visées.
En outre, la règlementation américaine critiquée ne fournit pas aux personnes des droits opposables aux autorités américaines devant les tribunaux et le mécanisme de médiation visé ne constitue pas une voie de recours acceptable puisque la personne ne peut pas être entendue devant un tribunal indépendant et impartial (le médiateur rend compte au secrétaire d’Etat et n’a pas pouvoir de prendre des décisions à l’égard des services de renseignement).
La décision d’adéquation prise par la Commission vis-à-vis du Privacy Shield est donc invalidée.
2.LE SORT DES CLAUSES CONTRACTUELLES TYPES
Les entreprises récipiendaires de données à caractère personnel situées hors de l’Union Européennes pouvaient, en l’absence de décision d’adéquation concernant leur pays, signer avec l’exportateur des données, des clauses contractuelles types élaborées par la Commission européenne (CCT). Ces clauses ont vocation à contractualiser les obligations des deux parties en matière de protection des données et de recours effectif des personnes concernées.
La plupart des commentateurs de la décision du 16 juillet 2020 considère que les clauses types sont validées.
Or rappelons que M. SHREMS, dans sa plainte devant la High Court d’Irlande demandait de suspendre ou d’interdire, pour l’avenir, les transferts de ses données vers les Etats-Unis que Facebook réalisait sur le fondement des CCT.
Le considérant 108 du RGPD précise qu’en l’absence de décision d’adéquation, les garanties appropriées qu’il appartient au responsable du traitement ou au sous-traitant de prendre conformément à l’article 46, paragraphe 1, du même règlement doivent « compenser l’insuffisance de la protection des données dans le pays tiers » pour « assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union ».
La Cour précise que l’évaluation du niveau de protection doit prendre en compte non seulement les dispositions contractuelles entre l’exportateur et l’importateur, mais aussi les éléments pertinents du système juridique du pays tiers concernant un éventuel accès des autorités publiques de ce pays aux données transférées (§ 104).
Les CCT ne liant pas les autorités d’un pays mais des co-contractants, la Cour affirme qu’il peut s’avérer nécessaire de compléter les garanties que contiennent ces clauses types de protection des données. En effet, le considérant 109 du RGPD énonce que « [l]a possibilité qu’ont les responsables du traitement […] de recourir à des clauses types de protection des données adoptées par la Commission […] ne devrait pas les empêcher […] d’y ajouter d’autres clauses ou des garanties supplémentaires » et précise, en particulier, que ceux-ci « devraient être encouragés à fournir des garanties supplémentaires […] qui viendraient compléter les clauses types de protection [des données] ».
Il y a donc une obligation pour l’exportateur des données et le destinataire du transfert de vérifier, avant la signature des CCT, que le niveau de protection est respecté dans le pays tiers concerné (§134).
Rappelons que la clause 5 a des CCT oblige le destinataire à informer l’exportateur des données de son éventuelle incapacité de se conformer aux clauses types de protection (et notamment l’engagement que les données soient traitées de manière à protéger les droits fondamentaux, la vie privée).
C’est grâce à cet article des CCT que la Cour considère que les CCT prévoit les mécanismes appropriés de protection et les valide.
Il n’en reste pas moins que la signature de CCT devra être précédé, selon moi, d’une analyse juridique quant à l’ingérence possible de tiers au titre de la règlementation nationale.
De sorte qu’aujourd’hui, tous les transferts vers les USA doivent être revus, y compris en présence de CCT.
Charlotte GALICHET