Le #RGPD a renforcé l’encadrement du transfert de données personnelles hors de l’UE, toutefois, force est de constater que les outils mis en place ne sont pas suffisants. Telle est la position adoptée par la Cour de Justice de l’Union Européenne (CJUE) dans son
Arrêt du 16 juillet 2020.
Petit rappel quant aux outils permettant de transférer des données hors de l’UE
Le transfert de données personnelles depuis l’UE est libre vers 10 pays tiers sous décision d’adéquation de la Commission européenne (Andorre, Argentine, Canada (entreprises commerciales), Iles Feroe, Guernesey, Ile de Man, Japon, Jersey, Nouvelle Zélande, Suisse et Uruguay), cette décision permettant de constater que le pays destinataire des données présente un niveau de protection équivalent à celui de l’UE. Cas particulier, le Safe Harbor, décision d’adéquation sectorielle accordée à certaines entreprises américaines relevant de la Federal Trade Commission a été invalidé par la CJUE en 2015, pour être remplacé en 2016 par le Privacy Shield qui vient de connaître le même sort.
En l’absence de décision d’adéquation, les exportateurs européens de données (responsable du traitement ou sous-traitant) sont tenus d’adopter des garanties appropriées telles que les clauses contractuelles types de la Commission européenne, les règles d’entreprise contraignantes (BCR), l’adhésion à un code de conduite … qui ne nécessitent pas non plus d’autorisation préalable de l’autorité de contrôle.
Les données du problème
Suite à l’invalidation du Safe Harbor, pour pouvoir transférer à Facebook Inc. les données personnelles de ses utilisateurs situés sur le territoire de l’UE, Facebook Ireland a eu recours aux clauses contractuelles types de la Commission européenne (Décision 2010/87/UE de la Commission du 5 février 2010, modifée par la Décision d’exécution (UE) 2016/2297 du 16 décembre 2016). Or, dans le cadre des programmes de surveillance de masse (PRISM et UPSTREAM) notamment, la règlementation américaine (Foreign Intelligence Surveillance Act et Décret présidentiel EO-12333) permet à certaines autorités publiques (FBI, NSA, CIA) d’accéder aux données personnelles transférées à des fins commerciales (métadonnées et contenus des communications). Nonobstant les exigences relatives à la sécurité nationale invoquées, s’est posée la question de savoir si la limitation du pouvoir conféré aux autorités publiques américaines permettait de garantir le respect d’un niveau de protection des données personnelles transférées équivalent à celui de l’UE.
Les décisions de la CJUE
A noter, chacune des décisions de la CJUE se fonde sur le RGPD (art. 45) et sur la Charte des droits fondamentaux de l’Union européenne (art. 7, 8, 47 et 52).
Tout d’abord, la CJUE a validé la décision de la Commission européenne relative aux clauses contractuelles types pour le transfert de données personnelles vers des sous-traitants établis dans des pays tiers. Pour autant cette validation est conditionnelle. En effet, la Cour impose au responsable du traitement ou au sous-traitant établis dans l’UE de prendre des mesures supplémentaires dans le cas où la réglementation du pays de l’importateur des données comporterait des mesures contraires aux clauses types. A défaut, le responsable du traitement ou le sous-traitant, et, à titre subsidiaire, l’autorité de contrôle compétente « sont tenus de suspendre ou de mettre fin au transfert de données vers le pays tiers concerné ».
En second lieu, la CJUE a invalidé la décision d’adéquation portant sur le Privacy Shield, jugé incompatible avec les exigences d’adéquation posées par le RGPD. D’une part, la Cour estime que la réglementation américaine relative aux programmes de surveillance massive menés par les autorités publiques entrainait des limitations de la protection des données personnelles transférées depuis l’UE et qu’elles étaient non conformes aux exigences minimales attachées au principe de proportionnalité. Elle relève en outre que cette règlementation ne confère pas non plus aux personnes concernées de droits opposables aux autorités américaines devant les tribunaux. D’autre part, la Cour remet en cause le mécanisme de médiation prévu par le Privacy Shield en ce qu’il ne permet pas de garantir aux personnes non américaines le droit à un recours effectif à accéder à un tribunal impartial.
Un premier retour du Comité Européen à la Protection des données (CEPD)
Conséquence 1
Les transferts vers les entreprises américaines relevant du Privacy Shield (GOOGLE, AWS, MICROSOFT…, fort nombreuses et souvent incontournables) sont désormais interdits.
Conséquence 2
En ce qui concerne les clauses contractuelles types, l’arrêt de la CJUE a une portée qui va au-delà des US ; le CEPD estime en effet qu’il incombe à l’exportateur et à l’importateur de données d’évaluer si le niveau de protection du pays tiers concerné est substantiellement équivalent à celui de l’UE afin de déterminer si les garanties appropriées pourront être respectées dans la pratique.
Conséquence 3
Toutes les garanties appropriées prévues par le RGPD sont impactées en ce compris les BCR, quand bien même leur validation par le CEPD …
Conséquence 4
Pour les USA comme pour tout autre pays tiers dont la règlementation n’assure pas un niveau de protection adéquat, les transferts de données doivent être suspendus ou définitivement arrêtés si des mesures de protection complémentaires n’ont pas été adoptées ou si les dérogations prévues par l’article 49 du RGPD ne sont pas applicables (consentement explicite, spécifique et informé et des personnes concernées).
Conséquence 5
En cas de maintien du transfert vers un pays tiers (ex : Chine, Inde) dont la règlementation n’assure pas un niveau de protection adéquat (sans mesures complémentaires ou dérogation applicable), le responsable du traitement doit en informer l’autorité de contrôle (qui pourra interdire ledit transfert).
Conséquence 6
Pour les transferts de données opérés par les sous-traitants situés dans l’UE (sous-traitance en chaîne), le responsable du traitement doit négocier un amendement ou une clause supplémentaire au contrat de sous-traitance afin d’interdire les transferts.
Et conséquence 7
La concertation des autorités de contrôle en la matière est plus qu’urgente.
Force est de constater (déplorer) que cette nouvelle facette de l’Accountability fait peser sur les exportateurs de données une bien lourde responsabilité…
Eric A. CAPRIOLI & Isabelle CANTERO
Caprioli & Associés, Société d’avocats membre du réseau JurisDéfi