Transfert de données à caractère personnel vers les Etats-Unis : la CJUE invalide le bouclier de protection des données mais valide les clauses contractuelles types de la Commission européenne

La Cour de justice de l’Union européene (CJUE), par une décision du 16 juillet 2020(1) dite « Schrems II » a précisé le cadre juridique applicable aux transferts de données personnelles vers les pays tiers de l’Union européenne et notamment les Etats-Unis.

Le règlement général relatif à la protection des données (RGPD)(2) prévoit que des données à caractère personnel peuvent être transférées vers un pays tiers si celui-ci assure un niveau de protection adéquat de ces données. En l’absence d’une décision de la Commission constatant l’adéquation du niveau de protection assuré dans le pays tiers en cause, le responsable du traitement peut néanmoins procéder au transfert s’il entoure celui-ci de garanties appropriées. Ces garanties peuvent, notamment, prendre la forme d’un contrat entre l’exportateur et l’importateur des données intégrant des clauses types de protection prévues dans une décision de la Commission. Par sa décision 2010/87/UE du 5 février 2010(3), la Commission a institué des clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers. La présente affaire porte sur la validité de cette décision.

En l’espèce, M. Schrems, a introduit le 25 juin 2013 une première plainte auprès du Data protection Commissionner (DPC), c’est-à-dire le commissaire à la protection des données en Irlande, relative au transfert de données à caractère personnel le concernant par le réseau social Facebook Ireland à sa société mère établie aux États-Unis. Il a invoqué un niveau insuffissant de protection de ses données personnelles au motif que les autorités publiques américaines pouvaient y avoir accès.

Cette plainte a été rejetée par le DPC, au motif notamment que, dans sa décision 2000/520/EC, dite Safe Harbor(4), la Commission avait constaté que les États-Unis assuraient un niveau adéquat de protection. Par un arrêt rendu le 6 octobre 2015, dit « Schrems I»(5), la CJUE, saisie d’une question préjudicielle posée par la High Court (Haute Cour, Irlande), a jugé cette décision invalide.

Suite à l’invalidation de la Décision Safe Harbor, la Commission européenne et le Département du Commerce américain ont élaboré un nouveau dispositif de protection des données entre l’UE et les États-Unis. Il a été adopté par une décison 2016/1250 du 12 juillet 2016 de la Commission européenne(6) (dite « Bouclier de Protection des Données » ou « Privacy shield »).

Le requérant dans une seconde plainte reformulée maintient que les États-Unis n’offrent pas de protection suffisante des données personnelles des ressortissants de l’UE transférées vers ce pays. Il demande de suspendre ou d’interdire, pour l’avenir, les transferts de ses données à caractère personnel depuis l’Union vers les États-Unis, que Facebook Ireland réalise désormais sur le fondement des clauses types de protection figurant à l’annexe de la décision 2010/87 du 5 février 2010.

Selon le DPC, le traitement de cette plainte dépend du point de savoir si la décision de la Commission 2010/87 du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers est valide. Le DPC a donc saisi la Haute Cour irlandaise afin qu’elle interroge la CJUE sur ce point.

La CJUE, dans un arrêt du 16 juillet 2020, juge, d’une part, que les clauses contractuelles types annexées à la décision 2010/87 de la Commission du 5 février 2010 sont valides dans la mesure où cette décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer.

D’autre part, la CJUE procède, à l’examen de la validité de la décision de la Commission européenne « Bouclier de Protection des Données » du 12 juillet 2016 au regard des exigences découlant du RGPD, lu à la lumière des dispositions de la Charte garantissant le respect de la vie privée et familiale, la protection des données à caractère personnel et le droit à une protection juridictionnelle effective.

Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, et que la Commission a évaluées dans la décision 2016/1250, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.

En outre, s’agissant de l’exigence de protection juridictionnelle, la Cour juge que, contrairement à ce que la Commission a considéré dans sa décision du 12 juillet 2016, le mécanisme de médiation visé par cette décision ne fournit pas à ces personnes une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union, de nature à assurer tant l’indépendance du médiateur prévu par ce mécanisme que l’existence de normes habilitant ledit médiateur à adopter des décisions contraignantes à l’égard des services de renseignement américains.

Par conséquent, la Cour déclare invalide la décision de la Commission « Bouclier de Protection des Données » du 12 juillet 2016.
 
Notes
puce note (1) CJUE, C-311/18 du 16 juillet 2020, Data Protection Commissioner/Maximillian Schrems et Facebook Ireland, arrêt du « Schrems II»
puce note (2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
puce note (3) Décision de la Commission 2010/87du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil
puce note (4) Décision de la Commission 2000/520 du 26 juillet 2000, dite Safe Harbor
puce note (5) CJUE, C-362/14 du 6 octobre 2015, Maximillian Schrems contre Data Protection Commissioner, arrêt du « Schrems I»
puce note (6) Commission européenne, décison 2016/1250 du 12 juillet 2016 relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis
 
 
Informations légales | Données personnelles