Schrems – saison 2: Les voeux renouvelés de la CJUE aux SSCs aux dépens du Privacy Shield

23 juillet 2020

Dans la saison précédente de “Schrems & la protection des données”, la Cour de Justice de l’Union Européenne (CJUE) invalida le Safe Harbour1 suite à la demande de Maximillian Schrems contre Facebook. Ce que Max Schrems ne savait pas, c’est que l’Union européenne et les Etats-Unis négociaient déjà un nouvel accord, permettant le transfert de données depuis l’Espace Économique Européen (EEE2) vers les Etats-Unis, le Privacy Shield (voir l’article: Transferts de données à l’étranger : quelles garanties réelles pour les citoyens européens ?).

En juin 2018, Max Schrems s’attaqua au Privacy Shield ainsi qu’aux Clauses Contractuelles Types. Après plus de deux ans de procédure, la Cour de Justice de l’Union Européenne vient de rendre une décision remettant en question la légalité de nombreux transferts de données vers les Etats-Unis, plongeant les Responsables de Traitement dans l’incertitude…

S02E01 – Les mecanismes du Privacy Shield

Adopté en 2016, le Privacy Shield est un mécanisme d’auto-certification des entreprises établies aux Etats-Unis. Ce mécanisme, ayant été reconnu par la Commission européenne comme assurant un niveau de protection adéquat des données à caractère personnel, permet de transférer des données à caractère personnel depuis l’EEE vers les Etats-Unis.

Toutes les entreprises établies aux Etats-Unis ne pouvaient pas bénéficier du Privacy Shield et ainsi traiter des données en provenance de l’EEE. Seules les entreprises placées sous le contrôle de la Federal Trade Commission et du Department of Transport pouvaient s’auto-certifier, excluant ainsi les organismes à but non lucratif, les banques, les sociétés d’assurances et les fournisseurs de services de télécommunication.

Le Privacy Shield s’appliquait à toutes les données personnelles, toutefois les entreprises établies aux Etats-Unis devaient indiquer si les transferts concernaient des données RH ou non-RH.

S02E02 – Invalidation du Privacy Shield

La CJUE, pour prononcer l’invalidation du Privacy Shield se fonde sur deux éléments :

  • L’accès et l’utilisation des données par les autorités publiques américaines

A la manière du Safe Harbour, le Privacy Shield consacre la primauté des exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation américaine. Cette reconnaissance permet, de fait, aux autorités américaines d’accéder aux données transférées à des entreprises américaines depuis l’EEE.

La Cour estime que les limitations à la protection des données à caractère personnel, issues de la réglementation interne des Etats-Unis, portant sur l’accès et l’utilisation, ne sont pas encadrées de manière à répondre aux exigences européennes en matière de protection des données à caractère personnel.

Suite aux révélations des affaires PRISM et UPSTREAM, qui ont mis en lumière l’accès aux données à caractère personnel transférées vers les Etats-Unis, par différentes autorités américaines (la NSA, la CIA et le FBI notamment), il apparaissait clairement que les programmes de surveillance fondés sur ces limitations n’étaient pas limités aux strict nécessaire.

  • L’absence de protection juridictionnelle des personnes concernées par les traitements

Le Privacy Shield prévoit la désignation d’un médiateur, indépendant des agences de renseignement américaines. Son rôle est d’assurer que les demandes, émanant de ressortissant européens concernant le traitement de leurs données à caractère personnel,  soient instruites et traitées. 

Le médiateur doit par la suite confirmer, à la personne concernée, que le droit américain à bien été respecté ou, dans le cas contraire qu’il a été remédié à la situation.

La Cour estime que ce mécanisme de médiation ne fournit pas une voie de recours devant un organe offrant des garanties équivalentes à celles requises par le droit de l’Union européenne, notamment en ce qui concerne l’indépendance du médiateur et sa capacité à adopter des décisions contraignantes, à l’égard des services de renseignement américains.

Il était également rappelé par la Cour autrichienne que les ressortissants européens ne bénéficient pas du 4ème amendement de la Constitution des Etat-Unis concernant les perquisitions et saisies non motivées.

S02E03 – La confirmation de la validité des Clauses Contractuelles Types  comme mécanisme de transfert de données hors de l’EEE

L’autre volet de la décision de la CJUE concerne les Clauses Contractuelles Types (ou SCC pour Standard Contractual Clauses).

Ces dernières permettent le transfert de données à caractère personnel depuis l’EEE vers un pays qui n’a pas fait l’objet d’une décision d’adéquation de la part de la Commission européenne, et qui n’offrirait pas de garanties suffisantes concernant la protection des données à caractère personnel. 

En contrepartie, la partie au contrat recevant les données s’engage à respecter un ensemble de règles, édictées dans les Clauses Contractuelles Types, afin de garantir la protection des données à caractère personnel.

La Cour ajoute à ce sujet, qu’outre les dispositions contractuelles, il convient également d’étudier les dispositions juridiques du pays tiers concernant un éventuel accès des autorités publiques du pays aux données ainsi transférées.

Toutefois, les transferts de données à caractère personnel fondés sur la signature de Clauses Contractuelles Types doivent être suspendus ou interdits par les autorités de contrôle nationales (la CNIL en France) si elles n’assurent pas un niveau de protection adéquat.

L’ensemble de ces mesures constitue pour la CJUE une garantie suffisante en ce qui concerne la protection des données à caractère personnel. La Cour estime que la validité de la décision mettant en place les Clauses contractuelles Types n’est pas remise en question.

Prochainement – Les conséquences de la décision de la CJUE

La principale conséquence à court terme pour les entreprises européenne est la renégociation des contrats passés avec des partenaires américains et dont les transferts de données à caractère personnel sont fondés sur le Privacy Shield. Pour palier à l’invalidation du Privacy Shield, les entreprises peuvent se tourner vers les Clauses Contractuelles Types, même si celles-ci feront l’objet d’une attention particulière de la part des autorités nationales de contrôles.

A moyen et long terme, la possibilité d’une nouvelle négociation avec les Etats-Unis concernant un mécanisme de transfert des données à caractère personnel n’est pas à exclure, étant donné le volume de ces transferts chaque année, et le montant total des prestations auxquels sont adossés les transferts de données à caractère personnel entre l’Espace Economique Européen et les Etats-Unis.

1 Le Safe Harbour était un mécanisme permettant de transférer des données personnelles depuis l’Espace Économique Européen vers les Etats-Unis. Il a été invalidé par une décision de la Cour de Justice de l’Union européenne le 6 octobre 2015
2 L’espace Économique Européen est constitué des 27 pays de l’Union européenne + Liechtenstein + Norvège + Islande + Royaume-Uni (jusqu’au 31/12/2020)

*La liste des entreprises bénéficiant du Privacy Shield pouvait être trouvée en ligne sur le site https://www.privacyshield.gov/list


Vous souhaitez en savoir plus sur la protection des données ? Découvrez l’offre Cybersécurité de Devoteam

devoteam

Contact

Remi Reynes

Consultant en protection des données personnelles