Après avoir invalidé le Safe Harbor en 2015 (CJUE, 6 octobre 2015), la CJUE (Cour de Justice de l'Union Européenne) a invalidé le Privacy Shield (CJUE, 16 juillet 2020).
Et maintenant ? Peut-on encore transférer des données personnelles vers les États-Unis ?
Rappel du contexte
Cette histoire commence en 2013, dans le contexte agité des révélations d'Edward Snowden, avec la plainte déposée par Maximillian Shrems, ressortissant autrichien, auprès de l'autorité irlandaise de contrôle. Il invoque le fait que Facebook Ireland transfert ses données personnelles vers Facebook Inc. situées aux États-Unis. Il fait valoir que la législation américaine relative aux données personnelles n'offre pas une protection suffisante contre l'accès, par les autorités américaines, aux données transférées vers ce pays et que, de ce fait, de tels transferts devraient être interdits.
Sa plainte est rejetée par l'autorité de contrôle irlandaise qui s'appuie sur la décision 2000 /520 de la Commission européenne (CE) du 26 juillet 2000 . Celle-ci avait considéré que les États-Unis assuraient un niveau adéquat de protection aux données à caractère personnel transférées. En d'autres termes, une entreprise américaine « labellisée Safe Harbour » remplissait les conditions pour considérer qu'un transfert de données sécurisé puisse se faire.
La High Court of Ireland, saisie à son tour, a soumis à la CJUE une question préjudicielle visant à savoir si l'autorité nationale est liée par la décision d'adéquation CE du 26 juillet 2000. La Haute juridiction européenne a répondu par la négative et a invalidé le Safe Harbor, considérant que cette décision d'adéquation de la Commission européenne n'offrait pas de garanties suffisantes aux personnes concernées (CJUE, Schrems I, 6 octobre 2015). Suite à cette invalidation, le transfert vers les États-Unis exigeait d'une part, la conclusion de clauses contractuelles type ou la mise en place de Binding Corporate Rules (BCR) pour pouvoir continuer à assurer le transfert de données personnelles dans des conditions conformes à la directive 95/46, d'autre part, le consentement des personnes dont les données personnelles sont transférées vers les États-Unis.
Un nouvel accord a ensuite été négocié entre la Commission européenne et les États-Unis, conduisant au Privacy shield (CE, déc. n° 2016/1250, 12 juillet 2016). Cette décision d'adéquation permettait ainsi d'opérer un transfert de données à caractère personnel vers les entreprises américaines acceptant de s'y conformer.
Parallèlement, M. Schrems a renouvelé sa plainte, maintenant que les États-Unis n'offrent pas de protection suffisante des données transférées vers les États-Unis.
La CJUE, de nouveau saisie, a répondu à deux questions préjudicielles (CJUE, Schrems II, 16 juillet 2020).
La première question portait sur la validité de la décision CE 2010/87 relative aux clauses contractuelles type pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers. La Haute Cour a répondu par l'affirmative, précisant que la validité dépend cependant des mécanismes effectifs permettant d'assurer un niveau de protection requis. Il s'agit en d'autres termes de vérifier au cas par cas les garanties, par exemple les clauses contractuelles type.
La seconde visait à savoir si la décision CE 2016/1250 relative à l'adéquation de la protection assurée par le Privacy Shield assure un niveau de protection adéquat. La réponse a été cette fois négative et la décision d'adéquation invalidée. D'une part, la CJUE a considéré que l'accès et l'utilisation aux données personnelles, par les autorités publiques américaines, transférées depuis l'Union ne sont pas encadrés d'une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l'Union, par le principe de proportionnalité. Il en résulte une incompatibilité de la règlementation américaine avec l'article 52 de la Charte des droits fondamentaux de l'UE (limitation des droits des personnes possibles sous réserve du principe de proportionnalité et de la nécessité de la limitation).
D'autre part, la CJUE retient que le mécanisme de médiation prévu par la décision d'adéquation ne fournit pas aux personnes concernées une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l'Union, de nature à assurer tant l'indépendance du médiateur prévu par ce mécanisme que l'existence de normes habilitant ledit médiateur à adopter des décisions contraignantes à l'égard des services de renseignement américains. Il en résulte une incompatibilité de la règlementation américaine avec l'article 47 de la Charte des droits fondamentaux de l'UE (droit à un recours effectif et à un tribunal impartial).
Quelle est la situation actuelle ?
L'invalidation du Privacy Shield nous place dans la situation de l'absence d'une décision d'adéquation. Mais l'invalidation d'une décision d'adéquation ne crée aucun vide juridique. En effet, si la règle de principe est qu'aucun transfert de données à caractère personnel ne peut intervenir avec un pays tiers sauf si une décision d'adéquation a été prise par la Commission européenne (RGPD, art. 45), des solutions existent : les clauses contractuelles types adoptées par la Commission européenne (RGPD, art. 46), les Binding Corporate Rules (RGPD, art. 47) ou encore les cas de dérogation particulière (RGPD, art. 49), par exemple dans le cas où le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable de traitement ou encore lorsque le transfert est nécessaire pour la constatation, l'exercice ou la défense de droits en justice.
Et quid des avocats plus particulièrement ?
Concernant les avocats, il convient d'opérer une distinction.
D'une part, dans leurs relations avec leurs prestataires responsables de traitement et sous-traitants, ils doivent veiller à la présence des garanties appropriées ou à leur respect et peuvent, dans certains cas, s'appuyer sur les dérogations pour situation particulière visées par le RGPD.
D'autre part, dans leurs relations avec les autres avocats, ils peuvent invoquer la dérogation prévue à l'art. 49.1 c (transfert nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée entre le RT et une autre personne physique ou morale). Tel est le cas lorsque les données sont nécessaires dans le cadre d'un échange avec un confrère adverse établi aux États-Unis. Ils peuvent également recourir à la dérogation prévue à l'article 49.1 e (transfert nécessaire pour la constatation, l'exercice ou la défense de droits en justice) qui se justifie dans le cadre des activités contentieuses.
Quant aux cabinets internationaux, ils peuvent adopter des Biding Corporate Rules ou encore viser la dérogation prévue à l'article art. 49.1.b (le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable de traitement).
L'article 49.1 al.2 ouvre également une voie possible, sous réserve de documenter le transfert et de procéder à un certain nombre de vérifications, mais l'information à l'autorité de contrôle soulève une question, celle de la compatibilité avec le secret professionnel.
Il existe donc toujours des solutions en attendant une nouvelle décision d'adéquation !
Chronique de Christiane Féral-Schuhl, avocate associée du cabinet Féral-Schuh.