1. Contexte :
Au lendemain des graves révélations d’Édouard SNOWDEN le 6 juin 2013, plusieurs États du monde entier ont revu leur politique de sécurité des données leurs citoyens. Au niveau européen, cette crise de confiance s'est matérialisée par la suppression de la safe harbor. En fait, la Commission européenne, dans une décision rendue le 26 juillet 2000, a constaté que les États-Unis offraient un niveau de sécurité des données équivalent au modèle européen de protection. Par conséquent, les données des citoyens européens pourraient être transférées et traitées aux États-Unis. Pour assurer le transfert des données vers les États-Unis, le 2 février 2016, le Privacy sheild a été conclu entre l’Europe et les États-Unis pour garantir un transfert sécurisé des données de citoyens européens.

2. Qu’est ce que le Privacy shield ?
Le Bouclier de Protection des Données, mieux connu sous le nom de « Privacy Shield ” est un mécanisme d’auto-certification pour les entreprises établies aux États-Unis qui a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers  des entreprises établies aux États-Unis. Ce mécanisme est par conséquent considéré comme offrant des garanties juridiques pour de tels transferts de données.

L’entrée en vigueur du RGPD avait permis un renforcement cette obligation de sécurité des données lors transferts en dehors de l’Union. Ainsi, les articles 44 à 50 du RGPD prévoient désormais qu’un transfert international de données peut s’effectuer soit par une décision d’adéquation par laquelle l’Union reconnaît qu’un territoire présente un niveau de protection équivalent au sien, soit par des garanties appropriées listées par le RGPD, étant précisé que par exception, le transfert est autorisé dans certaines situations particulières, incluant par exemple des « motifs importants d’intérêt public » dont l’absence d’énumération peut laisser entendre un spectre large de dérogations.

Le règlement impose désormais “des garanties appropriés” en cas de transferts de données personnelles en dehors de l’UE. Parmi ces garanties, on peut citer “les clauses contractuelles types” qui présentent des garanties suffisantes et qui sont adoptées par la Commission européenne (dir. 95/46/CE, art. 26, § 4 ; RGPD, art. 46, § 1, c). Les clauses encadrant la relation entre responsable de traitement et sous-traitant figurent dans la décision 2010/87/UE de la Commission du 5 février 2010 (décision CPT), modifiée par la décision d’exécution (UE) 2016/2297 du 16 décembre 2016 à la suite de l’invalidation du Safe Harbor par l’arrêt Schrems.

Toutefois, dans une décision rendu le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) a invalidé la décision d’adéquation « Privacy Shield », adoptée en 2016 par la Commission européenne suite à l’invalidation du « Safe Harbor », qui permettait le transfert de données entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données sans autre formalité.

3. Pourquoi une telle décision ?
En l’espèce, Maximilian Schrems, activiste défendant la protection des données et fondateur de l’association None of Your Business, avait obtenu l’invalidation du Safe Harbor dans un litige l’opposant à Facebook. L’affaire fut ensuite renvoyée devant la haute cour irlandaise. Le Safe Harbor n’étant plus, Facebook se fonde désormais pour le transfert international de données sur les clauses contractuelles types. Or, selon M. Schrems, ce fondement ignore également la protection des données à caractère personnel puisque le droit américain autorise notamment la mise à disposition par les opérateurs de télécommunication aux autorités américaines des données personnelles des ressortissants de l’Union européenne. Cette mise à disposition concerne autant les métadonnées que le contenu des communications. Finalement, la validité même des clauses contractuelles types était en cause dans le cadre de ce litige et la haute cour a décidé de saisir la CJUE d’un renvoi préjudiciel.

À la suite de l’arrêt Schrems I et de l’annulation consécutive, par la juridiction irlandaise, de la décision rejetant la plainte de M. Schrems, l’autorité de contrôle irlandaise a invité celui-ci à reformuler sa plainte compte tenu de l’invalidation, par la Cour, de la décision 2000/520. Dans sa plainte reformulée, M. Schrems maintient que les États-Unis n’offrent pas de protection suffisante des données transférées vers ce pays. Il demande de suspendre ou d’interdire, pour l’avenir, les transferts de ses données à caractère personnel depuis l’Union vers les États-Unis, que Facebook Ireland réalise désormais sur le fondement des clauses types de protection figurant à l’annexe de la décision 2010/87 7 . Estimant que le traitement de la plainte de M. Schrems dépend, notamment, de la validité de la décision 2010/87, l’autorité de contrôle irlandaise a initié une procédure devant la High Court aux fins que celle-ci soumette à la Cour une demande de décision préjudicielle. Après l’ouverture de cette procédure, la Commission a adopté la décision (UE) 2016/1250 relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis 8 .

Par sa demande de décision préjudicielle, la juridiction de renvoi interroge la Cour sur l’applicabilité du RGPD à des transferts de données à caractère personnel fondés sur des clauses types de protection figurant dans la décision 2010/87, sur le niveau de protection requis par ce règlement dans le cadre d’un tel transfert et sur les obligations incombant aux autorités de contrôle dans ce contexte. En outre, la High Court soulève la question de la validité tant de la décision 2010/87 que de la décision 2016/1250. Par son arrêt de ce jour, la Cour constate que l’examen de la décision 2010/87 au regard de la charte des droits fondamentaux de l’Union européenne ne révèle aucun élément de nature à affecter sa validité. En revanche, elle déclare la décision 2016/1250 invalide.

4. Validité des clauses contractuelles types
La CJUE a validé les clauses contractuelles types permettant le transfert de données depuis l’Union européenne vers des importateurs établis hors de l’Union. La CJUE rappelle également qu’un transfert international fondé sur les clauses contractuelles types de l’article 46, § 2, c, du RGPD doit assurer le « niveau de protection adéquat » figurant à son article 45, § 2, qui renvoie pour la Cour à une appréciation du niveau de protection des droits et libertés fondamentaux substantiellement équivalent à celui garanti par le RGPD, lu à la lumière de la Charte des droits fondamentaux de l’Union européenne .
Enfin, sauf décision d’adéquation valablement adoptée par la Commission, les autorités de contrôle nationales sont compétentes pour suspendre ou interdire un transfert international de données qui ne respecterait pas un niveau de protection substantiellement équivalent à celui de l’Union, lorsqu’il est fondé sur des clauses contractuelles types .


5. Que dit la CNIL sur cette décision
Dans un communiqué publié sur son site officiel , la CNIL indique entrain de procéder à une analyse précise de l’arrêt, en lien avec ses homologues européens réunis au sein du Comité Européen pour la Protection des Données. Ce travail commun permettra, dans les meilleurs délais, d’en tirer les conséquences pour les transferts de données de l’Union européenne vers les États-Unis.


sources :
https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fr.pdf

https://www.cnil.fr/fr/invalidation-du-privacy-shield-la-cnil-et-ses-homologues-analysent-actuellement-ses-consequences