Invalidation du Privacy Shield par la Cour de Justice de l’Union Européenne

CJUE, 16 juillet 2020, Data protection Commissioner c/ Facebook Ireland Ltd et Maximilian Shrems, C-311/18

Par un arrêt du 16 juillet 2020, la CJUE a invalidé le bouclier de protection des données UE‑États-Unis dit Privacy Shield. Les transferts de données personnelles de l’UE/EEE vers les Etats-Unis basés sur ce cadre juridique sont désormais illégaux, et les entreprises ne peuvent plus s’y référer.

 

  • Le bouclier de protection des données UE-États-Unis dit Privacy Shield

Le Privacy Shield désigne un mécanisme d’auto-certification pour les entreprises établies aux Etats-Unis, qui permettait aux entreprises situées dans l’UE de transférer des données personnelles vers les entreprises auto-certifiées aux Etats-Unis. Ce mécanisme a été adopté par la décision d’adéquation 2016/1250 de la Commission européenne, qui a considéré que les Etats-Unis assuraient un niveau adéquat de protection des données. Le Privacy Shield a succédé au mécanisme du « Safe Harbor » invalidé par la CJUE en 2015 (C‑362/14).

Dans son arrêt du 16 juillet 2020, la CJUE répond aux questions préjudicielles qui lui sont posées par High Court d’Irlande suite à la plainte de Maximilian Shrems, ressortissant autrichien, visant à interdire Facebook Ireland de transférer ses données personnelles vers des serveurs appartenant à Facebook Inc., situés aux Etats-Unis.

  • Examen de la CJUE

Le RGPD prévoit que le transfert de données vers un pays tiers à l’EEE ne peut en principe avoir lieu que si le pays tiers en question assure un niveau de protection adéquat (art. 44 et seq.). La Commission peut constater qu’un pays tiers assure un niveau de protection adéquat en adoptant une décision d’adéquation. En l’absence d’une telle décision, le transfert ne peut intervenir que si le responsable de traitement ou sous‑traitant exportateur prévoit des garanties appropriées, telles que des clauses contractuelles types (« CCT ») ou des règles d'entreprise contraignantes (« Biding Corporate Rules » ou « BCR »).

La CJUE considère valide la décision 2010/87 de la Commission relative aux CCT. Elle constate que le transfert vers un pays tiers sur le fondement des CCT prévoit un mécanisme effectif puisque ce transfert doit être suspendu ou interdit dès lors que le destinataire ne respecte pas les CCT ou se trouve dans l’incapacité de les respecter. En effet, l’exportateur et le destinataire doivent vérifier, préalablement au transfert, que le pays tiers respecte le niveau de protection requis par le RGPD. Le destinataire doit en outre informer l’exportateur de son éventuelle incapacité à se conformer aux CCT ou à toute mesure complémentaire.

La CJUE invalide la décision d’adéquation 2016/1250 de la Commission relative au Privacy Shield. Elle constate que le droit des Etats-Unis n’assure pas un niveau de protection « essentiellement équivalent » à celui de l’UE (art. 702 du Foreign Intelligence Surveillance ActExecutive Order 12333, et Presidential Policy Directive 28). D’une part, elle considère que l’accès et l’utilisation par les autorités américaines de données personnelles transférées vers les Etats-Unis ne sont pas suffisamment encadrés, car les programmes de surveillance aux fins de sécurité nationale et renseignement extérieur ne sont pas limités au strict nécessaire. D’autre part, elle considère que le droit américain n’accorde pas aux personnes dont les données personnelles sont transférées aux Etats-Unis de droit de recours effectif devant les juridictions à l’encontre des autorités américaines. Elle remet notamment en cause l’indépendance du médiateur instauré par le Privacy Shield.

  • Implications pour les transferts de données vers les Etats-Unis sur la base du Privacy Shield

Les transferts de données personnelles de l’UE vers les Etats-Unis basés sur le Privacy Shield sont illégaux et il n’existe pas de délai de grâce. Les responsables de traitement et sous‑traitants qui souhaitent continuer à transférer des données personnelles vers les Etats‑Unis doivent se fonder sur les autres mécanismes de transfert existants.

  • Implications pour les transferts de données vers les Etats-Unis sur la base d’autres mécanismes de transferts

Selon l’arrêt de la CJUE, il revient à chaque exportateur de données personnelles vers les Etats-Unis et destinataire d’évaluer si les CCT et les mesures supplémentaires mises en œuvre permettent de garantir que le droit des Etats-Unis ne compromet pas le niveau adéquat de protection du transfert requis par le RGPD. Si cette évaluation mène à la conclusion que le niveau de protection adéquat n’est pas respecté, l’exportateur de données doit suspendre le transfert et/ou résilier le contrat avec le destinataire. Si l’exportateur décide malgré tout de poursuivre le transfert, il doit en notifier son autorité de contrôle compétente (la CNIL en France), celle-ci pouvant procéder à des vérifications auprès du destinataire et procéder à la suspension ou l’interdiction du transfert s’il y a lieu.

Le CEPD et la CNIL ont précisé que l’arrêt de la CJUE s’applique également aux BCR puisque le droit américain prime aussi sur ce mécanisme.

Les transferts de données personnelles vers les Etats-Unis demeurent possibles sur le fondement des dérogations prévues par le RGPD (art. 49). Celles-ci incluent notamment le consentement (lorsque celui-ci est explicite, spécifique au traitement envisagé et recueilli avant la mise en place du transfert, et éclairé dès lors que la personne est informée des risques liés à ce transfert), le contrat (lorsque le transfert est occasionnel), ou des motifs importants d'intérêt public.

  • Implications pour les transferts de données vers d’autres pays tiers à l’EEE

Le CEPD et la CNIL ont précisé que le seuil fixé par la CJUE s’applique à tout pays tiers à l’EEE. La procédure d’évaluation et de notification précisée quant aux CCT s’applique donc à tous les transferts de données vers d’autres pays tiers à l’EEE, quel que soit le mécanisme de transfert envisagé.

 

L’invalidation du Privacy Shield par la CJUE ne crée pas de vide juridique quant aux transferts de données hors UE/EEE, car le RGPD prévoit d’autres mécanismes de transferts. Cet arrêt précise néanmoins la teneur des obligations des entreprises exportant et important des données personnelles vers les Etats‑Unis et tout pays tiers. Celles-ci doivent se livrer à une procédure rigoureuse d’évaluation et de notification, impliquant notamment la revue des contrats entre responsable de traitement et sous-traitant. Cet arrêt corrobore la logique de responsabilisation des entreprises et des autorités de contrôle inhérente au RGPD. Les Etats‑Unis et la Commission européenne ont récemment entamé des discussions pour évaluer la possibilité d’adopter un nouvel accord qui serait conforme à l’arrêt de la CJUE.


L’arrêt de la CJUE est disponible ici.

retour à la liste

les experts
LAVOIX

  • LAVOIX - WTR1000
  • LAVOIX - Legal500
  • LAVOIX - IPStars
  • LAVOIX - Patent1000
  • LAVOIX- Leader League Décideurs
Logo ISO UKASCertification ISO 9001:2015 pour l'ensemble des activités de Conseil en Propriété Industrielle et pour tous les bureaux.