Le 16 juillet 2020, la Cour de justice de l’Union européenne (la CJUE) a rendu son arrêt dans l’affaire C-311/18, Data Protection Commissioner c. Facebook Ireland Ltd and Maximillian Schrems (l’arrêt Schrems II). Cet arrêt invalide la décision d’adéquation de la Commission européenne concernant le bouclier de protection des données Union européenne–États-Unis (la décision relative au bouclier de protection des données ou décision BDP). Il oblige également les exportateurs de données des États-Unis qui invoquent des clauses contractuelles types de la Commission européenne lors du transfert de données à caractère personnel vers un pays tiers à s’assurer, avant de procéder à ce transfert, que le niveau de protection offert par le destinataire de ce pays est adéquat.
Une semaine plus tard, le Comité européen de la protection des données (l’EDPB) a publié une foire aux questions (la FAQ) (en anglais) clarifiant certaines des conséquences de l’arrêt Schrems II sur les modalités de traitement impliquant le recours au bouclier de protection des données, à des clauses contractuelles types, à des règles d’entreprise contraignantes ou aux dérogations prévues à l’article 49 du Règlement général sur la protection des données de l’Union européenne (le RGPD).
Nous résumons dans le présent document certaines des principales implications de l’arrêt Schrems II et ses conséquences immédiates pour les organisations qui traitent des données à caractère personnel en dehors de l’Espace économique européen (EEE). L’EDPB devrait publier prochainement de nouvelles orientations, et la Commission européenne a indiqué qu’elle travaillait en étroite collaboration avec ses homologues américains pour trouver une solution de rechange au bouclier de protection des données afin de proposer un mécanisme de transfert renforcé et durable.
1. Le bouclier de protection des données est invalide
À la lumière des exigences énoncées dans le RGPD, la Cour a examiné la validité du bouclier de protection des données.
Elle conclut que la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de données à caractère personnel à des fins de sécurité nationale (plus précisément l’article 702 de la Foreign Intelligence Surveillance Act (FISA) et le décret présidentiel no 12333) permet aux autorités publiques américaines de s’ingérer dans l’exercice des droits fondamentaux des personnes dont les données sont transférées de l’Union européenne vers les États-Unis au point où la décision relative au bouclier de protection des données ne peut assurer un niveau adéquat de protection « essentiellement équivalent » à celui exigé par le droit de l’UE applicable à la protection des données. La Cour souligne également le fait que les personnes concernées de l’Union européenne ne disposent pas de recours juridictionnels effectifs face aux violations des règles de droit de l’Union européenne en matière de protection des données par les programmes de renseignement américains. La CJUE invalide par conséquent le bouclier de protection des données et déclare que sa décision prend effet immédiatement.
2. Les clauses contractuelles types demeurent un mécanisme de transfert valide, mais obligent les exportateurs et les importateurs de données à faire preuve de plus de diligence
Dans son arrêt, la CJUE examine également la validité de la décision 2010/87/UE de la Commission européenne relative aux clauses contractuelles types pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers et estime que le transfert de données à caractère personnel effectué en vertu de ce mécanisme est toujours licite dans la mesure où il est possible pour les parties, en pratique : (i) d’assurer un niveau de protection essentiellement équivalent à celui garanti au sein de l’UE en vertu du RGPD; (ii) de suspendre ou d’interdire le transfert de données en cas de violation de ces clauses ou d’impossibilité de les honorer.
Les organisations invoquent régulièrement des clauses contractuelles types pour transférer des données à caractère personnel. L’arrêt de la Cour a par conséquent une incidence sur un grand nombre de transferts de données à caractère personnel (y compris les transferts subséquents à des sous-traitants) vers des pays qui n’assurent pas un niveau de protection adéquat, c’est-à-dire pas seulement aux importateurs situés aux États‑Unis.
À cet égard, la Cour souligne que l’exportateur et l’importateur de données sont tous les deux tenus de vérifier, au préalable, le respect dans le pays tiers concerné du niveau de protection requis par le RGPD, au regard de toutes les circonstances relatives au transfert. De plus, l’importateur de données doit informer l’exportateur de données de son incapacité de se conformer aux clauses contractuelles types et, le cas échéant, de respecter les mesures supplémentaires adoptées contractuellement par les parties afin d’assurer un niveau de protection adéquat, à charge pour l’exportateur de données de suspendre le transfert de données et/ou de résilier le contrat conclu avec l’importateur de données. Autrement, l’autorité de contrôle compétente est tenue d’intervenir si les parties décident quand même de procéder au transfert.
L’EDPB explique dans sa FAQ qu’il est en train d’analyser l’arrêt de la Cour pour déterminer le type de mesures complémentaires susceptibles d’assurer un niveau de protection adéquat que les parties à un transfert de données pourraient proposer au pays qui est dans l’impossibilité d’assurer le niveau de protection adéquat, mesures qui pourraient être d’ordre juridique, technique et/ou organisationnel. Il sera essentiel que des orientations complémentaires soient données à ce sujet pour assurer le respect du RGPD.
3. Incidence sur les accords impliquant le traitement de données à caractère personnel en dehors de l’EEE
Dans son arrêt, la Cour conclut que la législation américaine viole les droits fondamentaux des personnes concernées. Cette conclusion pourrait entraîner des modifications à la législation américaine, qui fait l’objet d’un examen plus approfondi depuis les révélations d’Edward Snowden. Dans l’intervalle, les organisations qui transfèrent des données à caractère personnel, de même que les organisations situées aux États-Unis et dans d’autres pays et qui, de l’avis de la Commission européenne, n’assurent pas un niveau de protection adéquat, devront prendre acte de l’arrêt Schrems II et tenir compte des répercussions suivantes sur le plan opérationnel.
Transferts internationaux fondés sur le bouclier de protection des données
La CJUE invalide la décision d’adéquation relative au bouclier de protection des données sans accorder de délai de grâce dans le cas des transferts de données en cours à des entreprises certifiées en vertu du programme du bouclier de protection des données. Du point de vue du droit de l’UE, les organisations qui se fondent sur ce mécanisme de transfert pour envoyer des données à caractère personnel vers les États-Unis devraient cesser immédiatement ces transferts, sauf si elles sont en mesure d’invoquer un autre des mécanismes prévus au chapitre 5 du RGPD.
Compte tenu de l’état actuel de la législation américaine en matière de surveillance par l’État – législation qui prime sur les dispositions contractuelles telles que les clauses contractuelles types et les règles d’entreprise contraignantes –, on ne sait pas avec certitude si la légitimité des transferts de données vers les États-Unis pourrait être reconnue, à moins que les parties puissent assurer un niveau de protection adéquat en recourant à des clauses contractuelles types complétées par des mesures supplémentaires (voir ci-dessous) ou qu’elles puissent invoquer l’une des dérogations prévues à l’article 49 du RGPD (à savoir que la personne concernée a donné son consentement au transfert, que le transfert est nécessaire à l’exécution du contrat entre la personne concernée et le responsable ou que le transfert est nécessaire pour des motifs importants d’intérêt public). Dans l’état actuel des choses et compte tenu de la crise actuelle provoquée par la COVID-19, il semble peu probable qu’un nouveau cadre soit adopté par l’UE et les États-Unis avant les élections présidentielles américaines de novembre.
Transferts internationaux fondés sur des clauses contractuelles types
La possibilité pour une organisation de transférer – à un tiers ou à une filiale – des données à caractère personnel en dehors de l’EEE sur la base de clauses contractuelles types dépendra de l’issue de son évaluation des risques, compte tenu des circonstances particulières du transfert et des mesures supplémentaires sur lesquelles elle pourrait s’entendre avec le destinataire des données.
Les mesures supplémentaires, ainsi que les clauses contractuelles types (clauses contractuelles types+), devraient assurer un niveau de protection essentiellement équivalent à celui garanti au sein de l’UE en vertu du RGPD et permettre en pratique aux parties de suspendre le transfert de données ou d’y mettre fin en cas de violation de ces clauses contractuelles ou de l’impossibilité pour le bénéficiaire de les honorer. Il faudrait également qu’elles garantissent que les lois auxquelles est assujetti l’importateur de données – c’est-à-dire le sous-traitant – ne compromettent pas le niveau de protection adéquat qu’elles assurent. Comme nous l’avons déjà expliqué, l’EDPB a entrepris l’analyse de l’arrêt Schrems II, et il a indiqué qu’il fournirait des orientations supplémentaires sur la forme que pourraient prendre ces mesures supplémentaires. Il convient également de signaler que la Commission européenne est en train d’élaborer une nouvelle série de clauses contractuelles types, qui, espérons-le, incorporeront de telles mesures en plus de remédier aux lacunes des clauses actuelles.
Si, toutefois, compte tenu des circonstances du transfert – et, le cas échéant, des mesures supplémentaires –, son évaluation des risques l’amène à conclure qu’il ne peut fournir de garanties appropriées, l’exportateur de données est tenu de suspendre le transfert des données à caractère personnel ou d’y mettre fin. Si l’exportateur entend poursuivre le transfert des données malgré cette conclusion, il doit en aviser l’autorité de contrôle compétente.
Les parties qui concluaient habituellement des clauses contractuelles types sous forme d’un document type sans vraiment en évaluer les conséquences juridiques doivent donc accorder une plus grande attention aux exigences détaillées de ces clauses et évaluer soigneusement si le traitement qu’elles envisagent assurera un niveau de protection adéquat une fois que les données auront été reçues par l’importateur de données se trouvant dans un pays tiers.
Selon le résultat de cette évaluation, les parties peuvent adopter les clauses contractuelles types actuelles ou les clauses contractuelles types+. L’exportateur de données peut également décider de ne pas procéder au transfert envisagé si le risque est trop élevé, ou il peut procéder au transfert après en avoir informé son autorité de contrôle.
Transferts internationaux fondés sur des règles d’entreprise contraignantes
Le raisonnement de la Cour et l’analyse qui précède s’appliquent également dans le contexte des règles d’entreprise contraignantes, puisque le droit du pays où se trouve l’importateur des données primera aussi sur ce mécanisme. Les orientations supplémentaires attendues de l’EDPB porteront probablement sur la validité des règles d’entreprise contraignantes en tant que mécanisme de transfert de données vers des pays tiers, ainsi que sur d’éventuelles mesures supplémentaires.