Les conditions du transfert des données personnelles de l’Union européenne vers les États-Unis : CJUE, 16 juillet 2020, aff. C-311/18, Data Protection Commissioner c. Facebook Ireland Ltd et Maximillian Schrems.
Au-delà de la volonté d’assurer, par le droit européen, un même niveau de protection des données à caractère personnel dans l’ensemble des pays de l’Union européenne (UE), les États membres se soucient aussi de garantir un niveau de protection s’agissant des données personnelles de leurs ressortissants susceptibles d’être transférées, de l’un d’entre eux, vers un État tiers.
Se prononçant sur l’invalidité de la décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, relative à l’adéquation de la protection assurée par le « bouclier de protection » des données Union européenne – États-Unis (Privacy Shield), la Cour de justice de l’Union européenne (CJUE), par l’arrêt du 16 juillet 2020, aff. C-311/18, précise, de plus, que l’autorité nationale de contrôle, l’équivalent de notre Commission nationale de l’informatique et des libertés (Cnil), est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission lorsqu’elle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées, requise par le droit de l’Union, ne peut pas être assurée par d’autres moyens.
Par le présent arrêt, intervenant après un arrêt du 6 octobre 2015, aff. C-362/14, impliquant les mêmes parties (voir La rem n°36, p.5), par lequel la CJUE a considéré qu’une décision de la Commission européenne, telle que la décision 2000/520/CE du 26 juillet 2000, relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » (Safe Harbor) adoptés par le ministère du commerce des États-Unis d’Amérique, constatant « qu’un pays tiers assure un niveau de protection adéquat, ne fait pas obstacle à ce qu’une autorité de contrôle d’un État membre examine la demande d’une personne relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel la concernant qui ont été transférées depuis un État membre vers ce pays tiers, lorsque cette personne fait valoir que le droit et les pratiques en vigueur dans celui-ci n’assurent pas un niveau de protection adéquat ».
Dispositions en vigueur
En la présente affaire, étaient notamment en cause les dispositions du règlement (UE) n° 2016/679 du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, dit règlement général sur la protection des données (RGPD), abrogeant et remplaçant la directive 95/46/CE du 24 octobre 1995, ayant le même objet. Les États membres y prévoient notamment que le transfert de données à caractère personnel vers un pays tiers ne peut avoir lieu que si ce pays tiers assure un niveau de protection adéquat, ce que la Commission européenne peut constater par une décision spécifique, ou si le responsable du traitement offre des garanties suffisantes et si la personne concernée a donné son consentement explicite au transfert envisagé.
Le même texte prévoit qu’une autorité publique indépendante nationale doit être chargée de veiller à l’application de ces dispositions et que toute personne concernée doit avoir le droit d’introduire une réclamation auprès d’elle et disposer d’un recours juridictionnel contre la décision prise.
Au regard de ces dispositions, était contestée la décision d’exécution (UE) 2016/1250 de la Commission européenne du 12 juillet 2016, relative à l’adéquation de la protection assurée par le « bouclier de protection » des données Union européenne – États-Unis.
Jurisprudence de la Cour
À la suite d’un premier arrêt Schrems du 6 octobre 2015, aff. C-362/14, invalidant la décision 2000/520/CE de la Commission du 26 juillet 2000, relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » adoptée par les autorités américaines, par laquelle la Commission européenne avait estimé que les États-Unis assuraient un niveau de protection adéquat, a été adoptée une nouvelle décision 2016/2297, comportant des clauses contractuelles types protectrices des droits des personnes, et par laquelle ladite Commission considère que les États-Unis assurent, dans le cadre dudit « bouclier de protection des données », un niveau de protection adéquat des données à caractère personnel transférées depuis l’Union.
Par une nouvelle plainte, Maximillian Schrems, considérant que le droit américain ne garantit pas une protection suffisante de ses données personnelles, saisit le commissaire irlandais à la protection des données d’une demande d’interdiction du transfert de ses données vers les États-Unis. L’affaire ayant été portée devant la juridiction irlandaise, celle-ci saisit à nouveau la Cour de justice d’une question préjudicielle devant l’amener à se prononcer sur le niveau de protection assuré par la décision de la Commission autorisant, sous réserve du respect des conditions qu’elle détermine, le transfert de données personnelles vers les États-Unis.
Dans le présent arrêt, la CJUE retient que lorsqu’un pays tiers n’assure pas un niveau adéquat de protection des données, le transfert de données à caractère personnel vers ce pays tiers devrait être interdit à moins que les exigences relatives aux transferts faisant l’objet de garanties appropriées soient respectées. Il est précisé que « ces garanties appropriées doivent être de nature à assurer que les personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient, comme dans le cadre d’un transfert fondé sur une décision d’adéquation, d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union ».
S’agissant du pouvoir d’une autorité nationale de protection des données de suspendre ou d’interdire un transfert de données à caractère personnel vers un pays tiers, l’arrêt pose qu’il lui revient de prendre une telle décision lorsqu’elle considère que « les clauses types de protection des données ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées, requise par le droit de l’Union, ne peut pas être assurée par d’autres moyens ». Précision est cependant apportée que « les pouvoirs de l’autorité de contrôle compétente sont soumis au plein respect de la décision par laquelle la Commission constate qu’un pays tiers déterminé assure un niveau de protection adéquat ». Dans ce cas, en effet, « les transferts de données à caractère personnel vers le pays tiers concerné peuvent avoir lieu sans qu’il soit nécessaire d’obtenir une autorisation spécifique ».
Néanmoins, « en présence d’une décision d’adéquation de la Commission, l’autorité nationale de contrôle, saisie par une personne d’une réclamation relative à la protection de ses droits et de ses libertés à l’égard d’un traitement de données à caractère personnel la concernant, doit pouvoir examiner, en toute indépendance, si le transfert de ces données respecte les exigences posées par le RGPD et, le cas échéant, introduire un recours devant les juridictions nationales afin que ces dernières procèdent, si elles partagent les doutes de cette autorité quant à la validité de la décision d’adéquation, à un renvoi préjudiciel aux fins de l’examen de cette validité ». En conséquence, « à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission, l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité considère que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées ne peut pas être assurée par d’autres moyens ».
Dès lors que la décision de la Commission « a un caractère contraignant pour les autorités de contrôle en ce qu’elle constate que les États-Unis garantissent un niveau de protection adéquat et, partant, a pour effet d’autoriser des transferts de données à caractère personnel effectués dans le cadre du « bouclier de protection » des données Union européenne – États-Unis », et « aussi longtemps que cette décision n’as pas été déclarée invalide par la Cour, l’autorité de contrôle compétente ne saurait suspendre ou interdire un transfert de données à caractère personnel vers une organisation adhérant à ce « bouclier » au motif qu’elle considère, contrairement à l’appréciation retenue par la Commission, que la législation des États-Unis n’assure pas un niveau de protection adéquat ».
En cette affaire, la juridiction nationale nourrissait « des doutes sur le point de savoir si le droit des États-Unis assure effectivement le niveau de protection adéquat requis ». Elle considérait en particulier que « le droit de ce pays tiers ne prévoit pas les limitations et les garanties nécessaires à l’égard des ingérences autorisées par sa réglementation nationale et n’assure pas non plus une protection juridictionnelle effective contre de telles ingérences ».
Pour la CJUE, « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises en droit de l’Union ».
L’arrêt conclut que, en constatant « que les États-Unis assurent un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies dans ce pays tiers dans le cadre du « bouclier de protection » des données Union européenne – États-Unis, la Commission », par sa décision du 12 juillet 2016, « a méconnu les exigences résultant de l’article 45 » du RGPD. En conséquence, cette décision est déclarée invalide. De ce fait, l’autorité nationale de contrôle « est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission lorsque cette autorité de contrôle considère que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées ne peut pas être assurée par d’autres moyens ».
Au-delà des cas d’espèce, la jurisprudence de la Cour de justice pourrait servir d’arguments à de semblables démarches de citoyens européens cherchant, sur la base des dispositions du droit européen en vigueur, à empêcher le transfert de leurs données personnelles vers des pays tiers dont ils estiment qu’ils n’assurent pas un niveau suffisant et satisfaisant de protection de leurs droits.
Contraints de respecter, à l’égard des citoyens européens, les dispositions du droit européen, les opérateurs américains pourraient-ils techniquement distinguer, selon l’identité et la nationalité des personnes concernées, leurs activités de traitement des données et continuer à être présents en Europe ?
Source :
- « Facebook menace de fermer Instagram en Europe », Richaud, N., lesechos.fr, 21 septembre 2020.
