Chronique d’une invalidation annoncée : le Privacy Shield n’est plus... et ce n’est pas vraiment une surprise. Le mécanisme d’adéquation de transfert de données vers les États-Unis fait l’objet d’une invalidation par la CJUE par un arrêt majeur, cinq ans après celle de son prédécesseur, le Safe Harbor. A l’inverse, la CJUE confirme la validité du recours aux « clauses contractuelles types » dans des termes pouvant interpeler. Quelles conséquences pratiques ?

Bis repetita. Nous sommes en 2015 : la CJUE invalide les « Safe Harbor Principles » conclu en juillet 2000 entre la Commission Européenne et les autorités américaines. Pour rappel, ce mécanisme d’auto-certification avait été mis en œuvre pour faciliter les démarches de mise en conformité de transferts de données personnelles vers les États-Unis, toute société américaine adhérente s’engageant à respecter des règles permettant de certifier son adéquation avec la réglementation européenne de protection de données personnelles. Dans sa décision du 6 octobre 2015, la CJUE mettait fin au Safe Harbor en considérant que « la législation [américaine] permettant aux pouvoirs publics d’accéder de manière généralisée au contenu des communications électroniques doit être considérée comme compromettante pour l’essence même du droit fondamental au respect de la vie privée ».

Par une décision du 12 juillet 2016, la Commission adoptait une nouvelle version de ce mécanisme d’adéquation, fièrement intitulé « Privacy Shield » ou « Bouclier de Protection des Données », ayant pour objectif de proposer une nouvelle version présentant « des garanties solides pour restaurer la confiance dans les transferts transatlantiques de données ». A ce jour, 5390 sociétés américaines sont adhérentes.

Nous sommes désormais en 2020 : la CJUE aboutit à la même conclusion et brise le bouclier par une décision rendue le 16 juillet en réponse à une demande de décision préjudicielle de la High Court (Haute Cour Irlandaise) dans le cadre d’une procédure initiée par l’autorité de contrôle irlandaise portant sur le traitement d’une plainte du désormais célèbre Maximilian Schrems à l’encontre de Facebook.

Cette décision insiste sur l’importance de s’assurer qu’outre les garanties prises entre l’importateur et l’exportateur des données, un transfert ne puisse être réalisé qu’après une analyse des éléments pertinents du système juridique du pays tiers vers lequel les données vont transiter, et notamment d’un éventuel accès de ces autorités publiques pays. De plus et dans cette logique, la CJUE prévoit qu’une autorité de contrôle serait dans l’obligation « de suspendre ou d’interdire un transfert vers un pays tiers lorsqu’elles estiment, au regard des circonstances propres à ce transfert, que les clauses types de protection des données ne sont pas ou ne peuvent pas être respectées dans ce pays et que la protection des données transférées, requise par le droit de l’Union, ne peut pas être assurée par d’autres moyens, à défaut pour l’exportateur établi dans l’Union d’avoir lui-même suspendu ou mis fin à un tel transfert. ».

Quelles sont les conséquences de l’invalidation du Privacy Shield pour les acteurs européens qui travaillent avec l’une des sociétés américaines adhérentes à ce mécanisme ?

La CJUE considère que « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers (…) ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire. » : en d’autres termes, l’intrusion potentielle des autorités américaines n’est pas compatible avec la réglementation applicable en Europe, rendant un tel transfert illicite du fait des risques présentés et justifie par conséquent l’invalidation du Privacy Shield.

Cette décision a un impact direct pour l’ensemble des acteurs européens qui ont contracté avec des sociétés américaines adhérentes de ce mécanisme... et ils sont nombreux ! Sont ainsi concernées par cette immédiate illicéité, non seulement les « très grandes entreprises » - notamment à l’occasion de transfert de données entre une société mère américaine et leurs filiales par exemple (mutualisation de systèmes informatiques du groupe) – mais également de plus petites entreprises qui, dans le cadre de la gestion de leur coût, privilégient des acteurs américains dont les solutions sont financièrement attractives et/ou leaders de leur secteur (solution en mode SaaS, prestation d’hébergement, outil d’emailing…).

D’autre part, le transfert de données personnelles vers les États-Unis est-il illicite ?

La question est délicate. Naturellement, il paraîtrait prématuré de tirer une telle conclusion de la décision rendue par la CJUE, dont l’analyse vise le Privacy Shield et non l’ensemble des transferts vers les États-Unis sur la base d’un autre outil juridique, tel que les règles contraignantes d’entreprises (BCR) ou les clauses contractuelles types (sous les réserves décrites ci-après).

Néanmoins, les termes forts de cette décision ne peuvent être ignorés et créent une forte incertitude : la Cour alarme sur les modes de traitement des données personnelles transmises aux États-Unis en fustigeant plus globalement le manque de garanties présentées du fait de sa réglementation interne, telle que Foreign Intelligence Surveillance Act ou le Cloud Act. Un signal fort est donc adressé aux autorités américaines afin qu’elles envisagent sous un angle différent leurs lois sur la surveillance des communications électroniques.

Enfin, cette décision peut-elle être dupliquée vers d’autres pays non-européens ? Deux catégories de pays « non-européens » doivent être distingués.

Certains d’entre eux ont d’ores et déjà été considérés par la Commission européenne comme présentant un niveau de protection adéquat et pour lesquels le RGPD autorise le transfert de données personnelles, tels que notamment l’Argentine, le Canada, Israël, le Japon, la Nouvelle-Zélande, la Suisse, l’Uruguay…

S’agissant du « reste du monde », la CJUE semble valider les clauses contractuelles types, lesquelles « proposent des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union [est] respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, [seront] suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer ». En réalité, une lecture attentive de l’arrêt permet de s’interroger sur la portée exacte de cette décision car la Cour justifie son argumentaire en responsabilisant ouvertement le responsable de traitement exportateur, lequel devra prendre en considération le cadre juridique du pays importateur pour déterminer si le transfert peut répondre aux exigences du RGPD ou non. Certes, l’article 46 du texte prévoit que le responsable de traitement doit prévoir des garanties appropriées avant de procéder à un transfert mais n’est-il pas utopique (pour ne pas dire, totalement irréaliste) de lui imposer de procéder à une telle étude globale qui, en état de cause, ne sera sans doute pas concluante ?

En conclusion : et maintenant… comment faire ? La CNIL a déjà indiqué procéder à une « analyse précise de l’arrêt », avec ses homologues européens, avec pour objectif « d’en tirer les conséquences pour les transferts de données de l’Union européenne vers les États-Unis » : ses conclusions sont attendues avec une réelle impatience… même si on peut craindre qu’une solution « miracle » ne puisse être réellement proposée. Dans cette attente, la réaction à avoir dépend des priorités du responsable de traitement, en fonction de la nature des données et des finalités de chaque traitement mis en œuvre.

Une attitude alarmée/zélée visera à mettre en œuvre la recommandation de la CNIL en 2015 après la disparition soudaine du Safe Harbor, à savoir en concluant en urgence des clauses contractuelles types dont le mécanisme semble avoir été confirmé (à ce stade) par la CJUE. Néanmoins, compte tenu des réserves évoquées ci-avant, cette mesure ne devrait avoir qu’une vertu de bon élève sans que les intérêts des personnes concernées ne soient vraiment protégés.

Un responsable de traitement plus serein fera application de sa procédure interne d’accountability et pourra, le cas échéant, conclure son analyse de risque en considérant qu’ « il est urgent d’attendre », comme beaucoup d’entre eux avaient d’ailleurs pu le faire entre l’invalidation du Safe Harbor et l’adoption du Privacy Shield.

Une dernière catégorie de responsable de traitement éliminera la difficulté à la source, en privilégiant la conclusion d’accord avec des sociétés localisés dans des pays pour lesquels cette problématique est résolue, à savoir des acteurs européens et/ou des acteurs non européens localisés dans des pays présentant un niveau « de protection adéquat ». Make Europe (…and third countries offering an adequate level of data protection) great again?

Olivier Hayat, Avocat fondateur de Hayat Avocat