Schrems II : Invalidation du Privacy Shield (CJUE) (1/2)

Télécharger en PDF

CJUE, 16.07.2020, Maximilian Schrems et Data Protection Commissioner contre Facebook Ireland Ltd. (C-311/18)

Le Privacy Shield UE-US n’offre pas un niveau de protection des données adéquat au sens de l’art. 45 RGPD. En effet, le Privacy Shield permet des dérogations disproportionnées à la protection des données en vue de la surveillance par les services de renseignement américains et n’offre aucun recours effectif aux personnes concernées. La décision d’adéquation correspondante de la Commission est dès lors invalide. Partant, les transferts de données vers les États-Unis ne peuvent valablement reposer sur le Privacy Shield.

Faits

Maximilian Schrems, juriste et activiste néerlandais, introduit une plainte concernant le transfert de ses données personnelles par la filiale européenne de Facebook à une entité du groupe aux États-Unis. À l’issue d’une enquête, l’autorité de contrôle irlandaise saisit la High Court afin que celle-ci vérifie la validité des motifs justificatifs sur lesquels s’appuie Facebook pour exporter les données vers les États-Unis. La High Court sursoit à statuer et saisit la Cour de Justice de l’Union européenne (CJUE) de questions préjudicielles.

La CJUE est notamment invitée à examiner la validité de (1) la décision d’adéquation de la Commission européenne permettant les transferts de données vers les États-Unis dans le cadre du Privacy Shield et (2) la décision de la Commission européenne selon laquelle les clauses types de protection des données offrent des garanties suffisantes pour un transfert de données vers un pays tiers.

Le présent résumé porte sur le premier point. La validité de la décision relative aux clauses types fera l’objet d’un résumé séparé.

Droit

Les art. 44 ss RGPD assujettissent le transfert de données personnelles à l’étranger à certaines conditions. Un tel transfert est notamment autorisé sur la base d’une décision de la Commission européenne constatant que le pays concerné offre un niveau de protection des données adéquat (art. 45 RGPD). La Commission a ainsi constaté que les États-Unis offraient un niveau de protection adéquat s’agissant des données transférées dans le cadre du Privacy Shield. Le Privacy Shield est un mécanisme d’autocertification qui s’appuie sur certains engagements officiels des États-Unis et permet aux entreprises américaines d’adhérer à un ensemble de principes de protection des données publié par le ministère américain du Commerce. Il est ainsi possible de transférer des données personnelles vers les États-Unis lorsque le récipiendaire figure sur la liste des organisations adhérant au Privacy Shield.

Dans son évaluation du niveau de protection dans le pays tiers, la Commission doit tenir compte en particulier de la législation relative à la défense et la sécurité nationale, de l’accès des autorités publiques aux données personnelles, ainsi que des droits effectifs et opposables dont bénéficient les personnes concernées et des voies de recours qui leur sont ouvertes dans le pays de destination  (art. 45 al. 2 RGPD). Lue à la lumière des art. 7 (Respect de la vie privée), 8 (Protection des données à caractère personnel) et 47 (Droit à un recours effectif et à accéder à un tribunal impartial) de la Charte européenne des droits fondamentaux, cette disposition signifie notamment que (a) les dérogations à la protection des données (p.ex. en vue de la sauvegarde de la sécurité nationale) doivent être proportionnées et (b) les personnes concernées doivent bénéficier d’un droit de recours effectif.

Le principe de la proportionnalité exige d’une part que les dérogations à la protection des données s’opèrent dans les limites du strict nécessaire, et d’autre part qu’elles soient soumises à des garanties légales et procédurales suffisantes. Or, le droit américain permet aux agences de renseignements de collecter un vaste volume de données “en vrac”, sans spécifiquement cibler la collecte et sans aucune surveillance judiciaire. En effet, les programmes de surveillance américains reposent sur des certifications annuelles qui ne prennent pas en compte si les personnes surveillées sont ou non correctement ciblées. En outre, les lois américaines pertinentes ne confèrent aux personnes concernées aucun droit opposable aux autorités collectant leurs données. Dans ces circonstances, c’est à tort que la Commission a considéré comme proportionnées les dérogations à la protection des données en vigueur aux États-Unis.

L’existence d’un recours effectif dans le pays de destination des données revêt une importance particulière pour la décision d’adéquation. À ce propos, le Privacy Shield prévoit que les personnes concernées par un transfert de données vers les États-Unis peuvent soumettre leurs plaintes à un médiateur. Cela étant, ce dernier fait partie intégrante du département d’État américain et est nommé et révoqué par le secrétaire d’État, ce qui met en cause son indépendance par rapport au pouvoir exécutif. De plus, le pouvoir de cognition du médiateur est restreint, plusieurs bases légales pertinentes pour la collecte de données personnelles par les services de renseignements étant soustraites à son contrôle. Enfin, rien n’indique que le médiateur pourrait prendre des décisions contraignantes à l’égard des services de renseignement. Partant, les garanties offertes par le mécanisme de médiation du Privacy Shield ne sont pas substantiellement équivalentes à celles requises par l’art. 47 de la Charte européenne des droits fondamentaux.

Au regard de ce qui précède, en constatant l’adéquation de la protection offerte par le Privacy Shield, la Commission a violé l’art. 45 RGPD. Partant, la  décision d’adéquation est invalide.

Note

L’arrêt résumé ici fait suite à l’invalidation en 2015 d’un premier ensemble de principes pour l’exportation de données vers les États-Unis, le Safe Harbor, également sur plainte de Max Schrems (CJUE, 06.10.2015, C-362/14, résumé in : LawInside.ch/92). Les motifs d’invalidation du Privacy Shield sont substantiellement similaires à ceux du Safe Harbor et démontrent une nouvelle fois la difficulté à concilier les exigences européennes en matière de protection des données avec les pratiques américaines de surveillance.

Cet arrêt a pour effet de rendre immédiatement illégal tout transfert de données personnelles vers les États-Unis qui s’appuierait uniquement sur le Privacy Shield. Un tel transfert présuppose dès lors d’autres garanties appropriées, par exemple des clauses contractuelles suffisantes ou des règles d’entreprises contraignantes. Dans un excellent article, Dr David Vasella examine plus en détail les implications pratiques de cet arrêt pour les exportations de données vers les États-Unis (en allemand). S’agissant de Facebook, suite à l’invalidation de la décision d’adéquation, la High Court irlandaise examinera si les autres motifs justificatifs dont se prévaut la société pour exporter les données de ses utilisateurs satisfont aux exigences du RGPD.

L’invalidation du Privacy Shield UE-US ne déploie pas d’effets directs pour l’exportation de données depuis la Suisse (sous réserve d’une éventuelle application extra-territoriale du RGPD). Cela étant, le Préposé fédéral à la protection des données et à la transparence considérait jusqu’ici le Privacy Shield Suisse-US, largement identique au Privacy Shield européen, comme offrant un niveau de protection adéquat au sens de l’art. 6 al. 2 LPD. En 2015, le Préposé avait révisé son évaluation de l’adéquation du Safe Harbor suisse dans la foulée de l’invalidation européenne. Dans ces circonstances, et au regard de la similitude des régimes juridiques suisses et européens de protection des données, on pourrait s’attendre à une invalidation prochaine du Privacy Shield Suisse-US. En l’état, le Préposé a indiqué qu’il analysait l’arrêt résumé ici et prendrait position ultérieurement.

Proposition de citation : Emilie Jacot-Guillarmod, Schrems II  : Invalidation du Privacy Shield (CJUE) (1/2), in : https://www.lawinside.ch/945/