« La Cour a clarifié pour la deuxième fois maintenant qu'il y a un conflit entre la législation européenne sur la vie privée et la législation américaine sur la surveillance ». C’est en ces termes que Monsieur Maximillian Schrems a accueilli la décision rendue le 16 juillet 2020 par la Cour de justice de l’Union européenne (CJUE) invalidant l’accord « Privacy Shield » dans l’affaire parfois dénommée « Schrems II »[1].
En effet, cet internaute et activiste autrichien, défenseur de la vie privée sur les réseaux, est déjà à l’origine de l’invalidation du « Safe Harbor »[2] (« Sphère de sécurité » pour les données personnelles), en 2015[3], qui permettait le transfert de données entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données sans autre formalité.
Par une décision dite « d’adéquation »[4] (aux standards européens de protection), la Commission européenne adoptait le 16 juillet 2016 le Privacy Shield, « bouclier de protection des données » créant ainsi une nouvelle base juridique pour le trafic transatlantique des données.
Ce dispositif d’auto-certification encadrait le transfert global de données d’une entreprise établie dans l’Union européenne vers une entreprise établie aux États-Unis, sans avoir à recourir aux outils d’encadrement de transferts de données hors de l’UE[5].
Ladite certification devait être renouvelée tous les ans et couvrir les données concernées par le traitement envisagé, étant précisé que lesdites données pouvaient être de différente nature (données commerciales, de santé, de ressources humaines, etc.) et donc de sensibilité très variable.
Certes, le Comité Européen de la Protection des Données (CEPD, ex-G29) se félicitait de certaines avancées au fil de la rédaction de l’accord, tendant vers un alignement avec les principes européens : intégration du principe de finalité (les données peuvent être enregistrées et traitées uniquement pour des finalités déterminées, explicites et légitimes et ne peuvent être traitées ultérieurement de manière incompatible avec ces finalités[6]), mise en place d’un médiateur américain, etc.
Mais le CEPD regrettait encore, comme nombre de défenseurs de la protection des données personnelles tels que Monsieur Schrems, certaines dispositions trop évasives, notamment concernant ce nouveau médiateur (quels pouvoirs ? quelle indépendance ?) et s’inquiétait de la surveillance de masse.
C’est là le point névralgique du débat, qui a finalement conduit la CJUE à invalider la décision, sauf en ce qui concerne le transfert de données jugées « nécessaires » (par exemple, le contenu d’un e-mail envoyé aux États-Unis, ou la réservation d’un hôtel).
En effet, il est désormais de notoriété publique que plusieurs programmes de surveillance de masse ont été mis en place par la règlementation américaine au nom des impératifs de sécurité publique, de défense et de sûreté de l’État. Certaines autorités publiques telles que le FBI (Federal Bureau of Investigation), la NSA (National Security Agency) et la CIA (Central Intelligence Agency) étant néanmoins autorisées à opérer un traitement massif des données collectées à des fins... commerciales.
Ces dispositifs très intrusifs ne sont pas soumis au principe de proportionnalité cher à la conception européenne du traitement de données, selon lequel les informations collectées doivent être strictement nécessaires au regard de la finalité du traitement concerné[7].
Or, les traitements sont seulement contrôlés au niveau fédéral par la Federal Trade Commission ou FTC (Commission Fédérale du Commerce), qui n’intervient en cette matière qu’au titre de la protection des consommateurs et ne dispose pas de pouvoirs aussi importants que ceux des « CNIL » européennes (par exemple, elle ne peut pas infliger d’amendes directement).
Le « Bouclier de Protection des Données » ou Privacy Shield se démarquait du dispositif de protection européen notamment par l’absence de droits opposables aux autorités américaines et de voie de recours effective pour les citoyens européens qui seraient victimes d’abus dans le traitement de leurs données, et donc de réparation efficace.
L’arrêt du 16 juillet 2020 témoigne ainsi, comme le relève Monsieur Schrems, de la différence entre les conceptions américaine et européenne de la donnée personnelle. Outre-Atlantique, la donnée personnelle est un bien commercialisable et, si les américains doivent être protégés de l’emprise des GAFA, ce serait davantage en tant que consommateurs[8] qu’au titre de leur droit au respect de leur vie privée.
Néanmoins, l’annulation de la décision d’adéquation laisse indemnes d’autres mécanismes de transfert approuvés par l’Union, tels que les Règles d’entreprises contraignantes (BCR) ou encore les Clauses contractuelles type de la Commission européenne (SCC), pour procéder au transfert de données de l’Union aux États-Unis.
La CJUE a ainsi validé, conformément aux conclusions de l’avocat général, une autre décision de la Commission européenne[9] relative aux SCC.
Il appartient toutefois à l’entreprise européenne souhaitant transférer des données vers les États-Unis de s’assurer que les données sont suffisamment protégées, et notamment que les principes de finalité, de proportionnalité, de qualité des données, et d’information des personnes concernées sont respectés.
Si la liberté contractuelle est sauvegardée, et permet de maintenir ouvertes les lignes d’échanges internationaux, ces autres mécanismes assurent ainsi une moindre sécurité juridique et demandent du temps et des négociations.
C’est pourquoi certains déplorent la décision de la Cour européenne, et ce d’autant que le CEPD a choisi de n’accorder aucun délai de grâce pour l’appliquer : « Les transferts effectués sur la base de ce cadre juridique sont illégaux »[10].
Concrètement, à défaut de revoir les standards américains de protection des données personnelles, les entreprises américaines ont à choisir : rapatrier sur le sol européen les traitements (solution chère et complexe), ou entrer en infraction avec le RGPD et s’exposer à une amende pouvant s’élever jusque 20 millions d’euros ou 4% de leur chiffre d’affaires mondial, étant précisé que la Cour encourage à la fermeté en soulignant dans sa décision que les Autorités de contrôle européennes (la CNIL en France) sont tenues de suspendre ou d'interdire un transfert ne respectant pas le niveau de protection requis par l’Union.
[1] CJUE, 16 juillet 2020, aff. C-311/18Data Protection Commissioner c./ Facebook Ireland Ltd et Schrems [2] Décision 2000/520/CE de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d'Amérique [3] CJUE, 6 octobre 2015, aff. C-362/14, Schrems c./ Data Protection Commissioner. [4] Décision d'exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis [5] https://www.cnil.fr/fr/transferer-des-donnees-hors-de-lue [6] Article 5 b) du RGPD [7] Article 5 c) du RGPD (règlement général sur la protection des données n°2016/679 du 27 avril 2016). [8] California Consumer Privacy Act (CCPA) adopté le 1er janvier 2020. [9] Décision de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE. [10] FAQ du CEPD publiée le 23 juillet 2020 : https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf