Le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) a rendu son arrêt dans l’affaire dite Schrems II (affaire C-311/18), déclarant que le Privacy Shield conclu l’Union européenne et les États-Unis est invalide dès lors qu’il n’offre pas un niveau de protection adéquat pour permettre un transfert de données personnelles de l’Union européenne (UE) vers les États-Unis. Toutefois, elle a estimé que les clauses contractuelles types (CCT) permettant le transfert de données personnelles de l’UE vers des pays tiers restent valables, sous réserve de diverses obligations à la charge des responsables de traitement européen permettant d’assurer le respect des exigences de l’UE en matière de protection des données.

 

Contexte

L’affaire remonte à une plainte déposée par Maximillian Schrems, un citoyen autrichien, auprès de l’autorité de contrôle irlandaise. Schrems cherchait à empêcher le transfert de données personnelles depuis l’UE vers les États-Unis dans le cadre du Safe Harbor. A la suite d’une action en justice, la CJUE a tranché en sa faveur le 6 octobre 2015 et a jugé que la décision de la Commission européenne selon laquelle le Safe Harbor offrait des protections adéquates pour les données personnelles transférées depuis l’UE vers les États-Unis était invalide.

Le Privacy Shield a remplacé le Safe Harbor et est devenu opérationnel en août 2016. Avec les CCT, il s’agit d’un mécanisme fréquemment utilisé par les employeurs pour transférer des données personnelles en dehors de l’UE.

 

Que s’est-il passé dans cette affaire ?

Bien que des progrès aient été réalisés depuis le Privacy Shield, comme l’a indiqué la Commission européenne dans son troisième rapport annuel publié le 23 octobre 2019, la CJUE a décidé que le Privacy Shield n’est pas juridiquement valable pour des raisons similaires à celle ayant conduit à la décision de déclarer le Safe Harbor invalide. Cette décision est principalement due à des préoccupations concernant l’accès des agences de renseignement américaines aux données transférées depuis l’Union Européenne.

Parmi les principales conclusions de la Cour, on peut citer que (i) la sécurité nationale, l’intérêt public et l’application de la loi aux États-Unis priment sur les droits fondamentaux des personnes dont les données sont transférées aux États-Unis et tolèrent donc toute interférence avec ceux-ci, (ii) les programmes de surveillance américains ne se limitent pas au strict nécessaire et (iii) la protection judiciaire des personnes est insuffisante dans la mesure où les mécanismes dont elles disposent ne sont pas contraignants pour les agences de renseignement américaines et ne sont pas équivalents à la norme en vigueur au sein de l’UE.

Néanmoins, conformément à l’opinion non contraignante rendue par l’avocat général de la CJUE publiée le 19 décembre 2019, la CJUE a confirmé que les CCT continuent d’être un outil valable pour le transfert de données. Toutefois, elle a souligné que l’obligation demeure pour les responsables du traitement d’évaluer le niveau de protection des données offert par le pays vers lequel les données sont transférées. Plus précisément, les responsables du traitement des données doivent prendre les mesures suivantes :

  • Les responsables du traitement doivent, en collaboration avec les responsables du traitement et, dans la mesure du possible, les personnes concernées, déterminer si la législation sur la protection des données du pays destinataire octroie une protection adéquate aux personnes concernées et prendre des mesures pour compenser les éventuels manquements, qui s’ajoutent aux protections offertes par les CCT. Ces mesures consistent notamment à veiller à ce que les personnes concernées disposent de droits exécutoires et d’un accès à des recours juridiques efficaces.
  • Les responsables du traitement des données doivent suspendre ou mettre fin au transfert de données de l’UE vers les États-Unis lorsque le responsable du traitement ou le sous-traitant ne peut pas prendre ces mesures supplémentaires pour garantir une protection adéquate.

 

Réaction des Etats-Unis à la décision

Le secrétaire du ministère américain du commerce, Wilbur L. Ross, Jr., a publié une déclaration sur l’arrêt Schrems II, indiquant que « le ministère du commerce est profondément déçu que la Cour semble invalider la décision d’adéquation de la Commission européenne qui sous-tend le Privacy-Shield » mais que le ministère « étudie encore la décision pour en comprendre pleinement les conséquences pratiques ». En outre, le secrétaire d’État Ross a déclaré :

« Le ministère du commerce continuera à administrer le programme Privacy Shield, y compris le traitement des demandes d’autocertification et de re-certification dans le cadre du Privacy Shield et la tenue à jour de la liste Privacy Shield. La décision d’aujourd’hui ne libère pas les organisations participantes de leurs obligations dans le cadre du programme Privacy Shield. »

 

Impact sur les autres transferts internationaux de données

Bien que la décision Schrems II ne s’applique qu’au programme Privacy Shield Etats-Unis-UE, le commissaire suisse à la protection des données pourrait bientôt mettre fin au programme Privacy Shield Etas-Unis-Suisse, qui est basé sur le même dispositif.  En effet, le commissaire suisse a mis fin au cadre de la sphère de sécurité suisse peu après que la Cour européenne de justice a invalidé le Safe Harbor en 2015.

En outre, plusieurs pays tiers à l’UE ont soit reconnu les CCT de l’UE, soit adopté des clauses contractuelles types similaires aux CCT de l’UE en tant que mécanismes juridiques pour le transfert de données vers d’autres pays. Ces pays peuvent désormais exiger des responsables du traitement des données qu’ils procèdent à une évaluation de la législation nationale en matière de protection des données et qu’ils fournissent des garanties supplémentaires en cas de lacunes, comme le prévoit la décision Schrems II.

 

Quelles sont les conséquences pour les employeurs ?

La conséquence immédiate de la décision est que les entreprises qui s’appuient sur la présomption de conformité apportée par le Privacy Shield ne peuvent plus le faire. Cela signifie également qu’un transfert de données personnelles dans le cadre du Privacy Shield peut faire l’objet de plaintes de la part de salariés et des clients, d’enquêtes par les autorités de protection des données individuelles, et d’éventuelles mesures d’exécution et de sanctions.

Compte tenu de la position du gouvernement américain, les entreprises déjà certifiées dans le cadre du programme Privacy Shield pourraient vouloir évaluer soigneusement leur position avant de mettre fin à leur participation au programme. Bien que la décision de la Cour ait un effet immédiat, il est espéré que l’UE accorde une sorte de délai de grâce, comme elle l’a fait lorsque le Safe Harbor a été invalidé en 2015, pour permettre aux entreprises certifiées au titre du bouclier de protection de la vie privée de se convertir à un autre mécanisme de transfert légal ou pour permettre aux États-Unis et à l’UE de négocier un remplacement du bouclier de protection de la vie privée.

Les entreprises qui s’appuient uniquement sur le Privacy Shield doivent examiner d’autres dispositifs de transferts de données personnelles et peuvent maintenant avoir besoin de mettre en place des clauses contractuelles avec des entités de l’UE sur la base d’une évaluation des lois de protection des données des pays concernés et de la fourniture de garanties supplémentaires. Bien que ces mesures soient potentiellement plus lourdes que les pratiques actuelles, elles sont réalisables pour la plupart des employeurs en ce qui concerne les transferts au sein de la structure de l’entreprise. Toutefois, elles seront probablement plus difficiles à réaliser pour les transferts de données provenant d’entités tierces. D’autres options comprennent des règles d’entreprise contraignantes qui autorisent les transferts au sein de l’entreprise ou le recours aux dérogations prévues par le règlement général sur la protection des données (RGPD), notamment le transfert de données en rapport avec la conclusion ou l’administration d’un contrat ou l’obtention du consentement des personnes. Ces options peuvent cependant être difficiles et coûteuses à réaliser et les autorités de contrôle de l’UE ont indiqué que les employeurs ne peuvent pas se fier au consentement des employés car l’inégalité du pouvoir de négociation entre employeurs et salariés a pour effet d’empêcher, en droit des données, les salariés de valablement donner leur consentement.

En outre, les employeurs qui s’appuient sur les CCT pour transférer des données depuis l’UE peuvent envisager d’élaborer un processus d’évaluation de l’adéquation des lois sur la protection des données des pays vers lesquels les données de l’UE sont transférées et mettre en œuvre des garanties supplémentaires pour remédier à toute lacune dans la protection des données offerte par les pays destinataires.

 

Etapes suivantes

Il est à espérer que la Commission européenne, le Comité européen de protection des données ou le ministère américain du commerce fourniront bientôt de nouvelles orientations et que cette décision pourra finalement conduire à une modification des lois américaines sur la surveillance ou des pratiques de contrôle des agences de renseignement américaines. Toutefois, il est peu probable que cela se produise à court terme.

Dans l’intervalle, les entreprises sont tenues de continuer à veiller à ce que leurs pratiques et procédures en matière de protection de la vie privée soient conformes aux exigences des lois européennes sur la protection des données lorsqu’elles mettent en œuvre d’autres méthodes de transfert.

 

Le jeudi 23 juillet 2020, à 18 heures, le groupe de travail d’Ogletree Cybersecurité et Vie privée Privacy présentera un webinaire en anglais pour discuter des implications de la décision et des mesures pratiques que les entreprises peuvent prendre pour mettre en œuvre des méthodes alternatives pour transférer légalement des données personnelles de l’UE vers les États-Unis. Pour vous inscrire, veuillez consulter le site web d’Ogletree Deakins.


Pour aller plus loin

Vous souhaitez recevoir nos newsletters, informations et actualités ?

Inscrivez-vous ici