privacy shieldArrêt en grande chambre de la CJUE du 16 juillet 2020 dans l’affaire C‑311/18   (dite « Schrems II »)

La CJUE a rendu le 16 juillet 2020 une décision historique (dite « Schrems II ») concernant le transfert international de données personnelles. Cette décision invalide la décision d’adéquation de la Commission européenne sur le Privacy Shield (« bouclier de protection des données ») entre l’UE et les Etats-Unis sur lequel s’appuyaient des milliers d’entreprises américaines pour transférer légalement des données personnelles de l’Union vers les Etats-Unis. Dans cette même décision, la Cour confirme la validité de principe des Clauses Contractuelles Types (« CCT ») mais indique tout de même que leur efficacité pour transférer légalement des données devra être analysée au cas par cas pour chaque transfert.

Les entreprises américaines s’étant jusqu’ici appuyées sur ce bouclier doivent donc sans tarder évaluer les différentes alternatives permettant le transfert de données personnelles telles que les CCT mais également les BCR (Binding Corporate Rules – Règles d’Entreprise Contraignantes) ou lorsque cela est possible, l’une des dérogations spécifiques prévues par le Règlement Général sur la Protection des Données (« RGPD »).

En l’absence de cette mise en conformité, les entreprises européennes qui transfèrent des données personnelles aux Etats-Unis pourront se voir infliger des sanctions financières pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire annuel mondial.

Invalidation du Privacy Shield

La CJUE a évalué la validité de la décision d’adéquation du Privacy Shield à la lumière des prescriptions du RGPD mais également de la Charte Européenne des Droits Fondamentaux (« la Charte »).

Elle a ainsi considéré que le bouclier ne constituait pas un mécanisme valide de transfert de données personnelles pour les raisons suivantes:

  • la Commission européenne en adoptant le Privacy Shield a reconnu que dans la législation américaine, les exigences relatives à la sécurité nationale et à l’intérêt public priment sur la protection des données personnelles européennes mais aussi que les programmes de surveillance américains ne se limitent pas à ce qui est strictement nécessaire dans une société démocratique ;
  • il n’y a pas de limitation selon la loi américaine concernant l’application de ces programmes de surveillance à des personnes non-américaines et ces personnes ne disposent pas de droits opposables aux autorités américaines devant les tribunaux et
  • le dispositif du médiateur américain (« ombudsperson ») prévu dans la décision d’adéquation ne présente pas de protection juridictionnelle effective contre de telles ingérences pour des personnes non-américaines potentiellement visées.

La décision de la CJUE invalidant le Privacy Shield est rendue presque cinq ans après l’invalidation de son prédécesseur le Safe Harbor.

Validation des Clauses Contractuelles Types avec des restrictions

La CJUE a considéré que la décision de la Commission européenne concernant les CCT était bien valide puisqu’il a dans les clauses elles-mêmes des conditions destinées à assurer la protection des données personnelles européennes contre les programmes de surveillance des gouvernements étrangers qui excèderaient ce qui est « une mesure nécessaire et proportionnée dans une société démocratique ». Cet élément de la décision de la CJUE devrait être accueilli avec soulagement par les entreprises comptant sur les CCT (ou prévoyant dorénavant de les mettre en place) comme moyen légitimant le transfert de données personnelles.

Cependant, la décision met l’accent sur les obligations spécifiques imposées par les clauses type non seulement à l’exportateur mais aussi à l’importateur de données afin d’assurer que les données transférées sont traitées conformément aux droits fondamentaux garantis par la Charte. Les exportateurs de données européennes devront donc évaluer si le destinataire étranger (ce qui comprend notamment les filiales, les sociétés-mères et les prestataires de services tiers) est capable de satisfaire aux prescriptions des CCT en pratique. Dans le cas contraire, l’exportateur de données ne pourra pas conclure de CCT ou devra suspendre voire résilier le contrat.

De plus, la Cour rappelle que, selon le RGPD, une autorité nationale de protection des données personnelles a le pouvoir – mais aussi le devoir- de suspendre ou mettre un terme au transfert de données lorsqu’elle considère, « à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers ».

Par conséquent, les circonstances de chaque transfert devront être évaluées sur la base d’une analyse au cas par cas. Un élément clef pour établir si un transfert de données peut se faire sur la base des CCT, sera de déterminer si les données personnelles concernées font l’objet ou sont susceptibles de faire l’objet d’une collecte massive de données par les autorités américaines ou encore par les agences de sécurité nationales selon la loi de surveillance « Foreign Intelligence Surveillance Act » (« FISA ») ou les  décrets et directives stratégiques présidentiels (Executive Orders et Presidential Policy directives).

Répercussions générales de la décision de la CJUE

Si la question soulevée devant la Cour concernait le transfert de données personnelles entre l’UE et les Etats-Unis, la décision a une portée bien plus étendue : elle impacte le transfert entre l’Union européenne et tous les pays tiers ne présentant pas de garanties suffisantes, comme par exemple la Chine. Elle impactera aussi les transferts vers le Royaume Uni post-Brexit.

Ainsi, en réaction à la décision de la Cour, la Commission européenne a déclaré se préparer à réévaluer les décisions d’adéquation couvrant les pays suivants : Andorre, Argentine, Canada, l’Ile de Man, Guernesey, Israël, Iles Féroé, Jersey, Nouvelle-Zélande, Suisse et Uruguay.

De plus, la Commission envisage la mise à jour des CCT (qui sont antérieures au RGPD) afin de tenir compte du RGPD et prendra aussi en considération la décision de la Cour.

Le Comité Européen de la Protection des Données (CEPD), rassemblant toutes les autorités européennes de protection des données personnelles, a publié une première déclaration le 17  juillet 2020  et une FAQ disponibles en anglais. Il indique notamment que la CJUE a prévu que l’exportateur de données peut avoir à mettre en place des mesures supplémentaires aux CCT et le CEPD cherchera à établir en quoi ces mesures peuvent consister pour ensuite établir des recommandations. Le CEPD rappelle aussi qu’il a publié des lignes directrices sur les dérogations à l’article 49 du RGPD, et que ces dérogations doivent être appliquées au cas par cas. Étant donné que la décision de la Cour n’est pas strictement limitée aux transferts depuis l’UE vers les États-Unis, cette évaluation devra également être faite dans le cas de transferts vers des pays tiers dont les gouvernements ont des pratiques de surveillance similaires aux pratiques américaines.  Le CEPD a précisé que dans ce cadre les autorités de contrôle auront un rôle clé à jouer. Cependant, pour éviter les divergences entre les pays de l’UE, les autorités devront travailler de concert au sein du CEPD en vue d’assurer une cohérence, surtout si certains transferts doivent être interdits. Nous espérons que ce sera effectivement le cas.

Que doivent faire les entreprises ?

Pour les entreprises utilisant le Privacy Shield

Examiner sans délai les alternatives existantes selon le RGPD, ce qui inclut les CCT, les BCR, les accords ad hoc sur le traitement de données personnelles approuvés par les autorités nationales de protection des données ainsi que les dérogations pour des situations particulières.

L’éventail d’options disponibles dépendra du type de données transférées, des finalités du transfert, de la mise en place ou non de mesures techniques afin d’assurer l’inaccessibilité des données pendant le transit ou aux Etats Unis (chiffrement du disque-dur, tokenisation etc.) ainsi que de nombreux autres facteurs.

Bien qu’on ne sache pas encore s’il y aura une période de grâce permettant la transition, nous ne nous attendons pas à ce que les autorités nationales de protection des données se pressent à prendre des mesures coercitives contre les entreprises utilisant le bouclier qui n’auraient pas mis en place un moyen alternatif de transfert du jour au lendemain.

Pour les entreprises ayant déjà recours aux CCT ou envisageant de le faire

Examiner les obligations de l’importateur de données prévues dans les clauses types et déterminer s’il y a des risques que selon les conditions spécifiques du transfert considéré, la loi du pays de l’importateur ne lui permette pas de respecter ses obligations.

Concernant les importateurs basés aux États-Unis, la priorité est d’évaluer dans quelle mesure l’importateur fait l’objet ou est susceptible de faire l’objet d’un mandat de surveillance FISA ou d’activités de surveillances similaires impliquant la collecte massive de données.

Portée

Il est important de garder à l’esprit que cette décision impactera à la fois les transferts internes à un groupe mais aussi les transferts externes. Dès lors, de nombreux systèmes et processus seront affectés alors que d’autres ne le seront sans doute pas.

Il est également important de noter que les transferts empruntant des câbles sous-marins sont susceptibles d’être interceptés par les autorités de sécurité nationales, permettant ainsi la collecte massive de données en transit et peuvent également être remis en cause par la décision Schrems II. La CJUE rappelle en effet à plusieurs reprises que selon la Haute Cour Irlandaise (qui avait saisi la CJUE) « les entreprises de télécommunications sont contraintes de permettre à la NSA de copier et de filtrer les flux de trafic Internet afin de recueillir des communications envoyées par ou reçues par ou concernant le ressortissant non américain visé par un « sélecteur » et ainsi [d’avoir accès] à la fois aux metadata et au contenu des communications concernées ».

Pour les entreprises ayant recours aux BCR

Les mêmes problématiques que celles exposées ci-dessus pour les CCT s’appliquent aux transferts reposant sur les BCR.

Evaluer les options permettant de limiter les transferts

En raison des incertitudes entourant l’utilisation des CCT et des BCR, pour légitimer le transfert de données à partir d’États membres vers des pays tiers qui ne satisfont pas aux exigences du critère d’adéquation, il pourrait être plus prudent d’évaluer les bénéfices et coûts d’un d’hébergement local des données européennes lorsque le transfert international n’est pas indispensable. Pour les données n’ayant pas besoin d’être accessibles à certains services ou individus basés à l’extérieur de l’UE (par exemple si elles sont simplement stockées en dehors de l’UE), des solutions technologiques bloquant efficacement l’accès aux données personnelles (par exemple chiffrement fort) pourraient suffire à légitimer les transferts qui sinon échoueraient à satisfaire aux exigences du jugement de la CJUE.

Le jugement souligne que dans le cadre des CCT, les parties doivent évaluer au cas par cas si ces clauses peuvent être respectées et, dans le cas contraire, arrêter ou du moins suspendre le transfert. Le CEPD précise que dans cette hypothèse si l’exportateur décide néanmoins de poursuivre le transfert, il se doit de saisir les autorités de contrôle. Il en va de même dans le cadre des BCR.

De plus, les autorités nationales de contrôle sont dans l’obligation d’appliquer ces prescriptions, la question étant de savoir si elles le feront en pratique.

Définir l’ordre de priorité des prochaines étapes

Dans un premier temps, la priorité est d’examiner le flux de données de votre entreprise circulant entre l’UE et les États-Unis, afin de déterminer si le mécanisme de transfert employé n’est plus valide (dans le cas où il reposait sur le Privacy Shield) ou potentiellement insuffisant (CCT ou BCR impliquant des catégories de données potentiellement sujettes à la collecte massive de données par les autorités américaines). Si c’est le cas, il conviendra de considérer et d’évaluer les solutions technologiques disponibles.

Etant donné que la décision de la Cour n’est pas strictement limitée aux transferts vers les Etats-Unis, cette évaluation devra, dans un deuxième temps, être étendue aux transferts vers les pays tiers dont les gouvernements ont des pratiques de surveillance similaires aux pratiques américaines.

Il faut aussi mettre en place un plan d’action pour les données qui seront transférées vers le Royaume Uni après la fin de l’année dans la mesure où il est de moins en moins probable qu’une décision d’adéquation intervienne d’ici là.

Contacts

L’équipe Données Personnelles & Cybersécurité de Squire Patton Boggs vous accompagne dans vos démarches afin d’évaluer les impacts que cette décision pourrait avoir sur votre entreprise et vous conseille sur les solutions possibles.

Cet article est la version française de l’article publié en anglais CJEU Invalidates the EU-US Privacy Shield Framework but Leaves the Standard Contractual Clauses Intact, Subject to Major Caveats

Nous continuerons à publier des mises à jour concernant la décision de la CJUE.