La Cour de Justice de l’Union Européenne (CJUE) a rendu le 16 juillet 2020 un arrêt majeur concernant le régime de transfert de données entre l’Union européenne et les Etats-Unis. Elle invalide la décision d’adéquation « Privacy Shield » adopté en 2016 par la Commission européenne qui permettait le transfert de données entre l’UE et les opérateurs américains adhérant à ses principes de protection des données sans autre formalité.
Par ailleurs, la CJUE a également validé les clauses contractuelles types permettant le transfert de données depuis l’UE vers des importateurs hors de l’Union.
A l’ère de la mondialisation, de grandes quantités de données à caractère personnel franchissent les frontières et sont parfois conservées sur des serveurs dans différents pays. La protection offerte par le RGPD vise à protéger ces données personnelles indépendamment de l’endroit où elles sont transférées.
Pour encadrer le transfert de données d’un pays de l’UE vers un pays tiers hors UE, le RGPD fournit différents outils :
- Un pays tiers peut être considéré comme offrant un niveau de protection approprié par le biais d’une décision de la Commission européenne (« décision d’adéquation»). Dans ce cas, des données peuvent être transférées vers une autre entreprise établie dans un pays tiers sans que l’exportateur des données ne doive fournir d’autres garanties ou être soumis à d’autres conditions.
- En l’absence de décision d’adéquation, un transfert peut avoir lieu grâce à la mise en place de garanties appropriées (ex : clauses contractuelles types approuvées par la Commission européenne, code de conduite, mécanisme de certification, etc.) et à la condition que les personnes concernées disposent de droits opposables et de voies de recours effectives.
- Enfin, si un transfert de données à caractère personnel est envisagé vers un pays tiers qui n’est pas soumis à une décision d’adéquation et en cas d’absence de garanties appropriées, il peut être effectué en se fondant sur un certain nombre de dérogations (ex : consentement explicite, etc.).
Depuis le 1er août 2016, la décision d’adéquation appelée « Bouclier de Protection des Données », mieux connu sous le nom de « Privacy Shield », permettait de transférer des données personnelles vers les USA, à condition que les entreprises destinataires des données se soient préalablement inscrites sur le registre tenu par l’administration américaine et respectent les obligations et garanties de fond prévues par l’accord.
Le Privacy Shield est donc un mécanisme d’auto-certification pour les entreprises établies aux États-Unis qui a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux États-Unis.
Ainsi, grâce au Privacy Shield considéré comme offrant des garanties juridiques suffisantes, il était possible de transférer des données à des entreprises américaines sans évaluer la base légale du transfert.
Invalidation du Privacy Shield :
La CJUE a examiné la validité de la décision relative au Bouclier de protection de la vie privée et a décidé d’invalider celui-ci.
En effet, la Cour a estimé que les exigences du droit américain, et en particulier certains programmes permettant l’accès des autorités publiques américaines aux données personnelles transférées de l’UE vers les Etats-Unis entraînent des limitations de la protection des données personnelles de nature à ne pas satisfaire les exigences du droit européen.
En revanche, elle juge que la décisions 2010/87 de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers est valide.
Impact de ce jugement :
La cour n’a pas prévu de délai de grâce pendant lequel il est possible de continuer à bénéficier du Privacy Shield. Désormais, les transferts effectués sur la base de ce cadre juridique sont illégaux.
Par conséquent, les entreprises souhaitant continuer à transférer des données vers les Etats-Unis devront vérifier qu’elles peuvent le faire en respectant les conditions prévues par le RGPD et notamment vérifier qu’elles disposent bien d’une base légale les y autorisant (clauses contractuelles types, consentement, etc.).
Cet arrêt va certainement impacter les entreprises européennes à un point qu’elles sont encore incapables de mesurer. L’annulation du Privacy Shield compliquerait certains contrats avec des sociétés américaines hébergeuses de Cloud, offrant des solutions d’emailing ou de gestion de clients. Les Etats-Unis vont certainement devoir modifier leurs réglementations sur la surveillance et la protection des données si leurs entreprises veulent continuer à jouer un rôle sur le marché européen.
La Computer and Communications Industry Association (CCIA – « Association de l’industrie de l’informatique et des communications »), qui compte parmi ses membres Google, Samsung ou Amazon, dit regretter « l’incertitude légale » créée par cette décision, et dit espérer à la fois des « recommandations de la part des autorités de protection des données » et de nouvelles discussions qui permettront aux « responsables politiques américains et européens de trouver rapidement une solution viable (…) pour assurer la continuité des flux d’informations qui sous-tendent l’économie numérique ».
De son côté, la Business Software Alliance, qui rassemble de très grandes entreprises du numérique dont Microsoft ou Oracle, s’est dite « soulagée de voir que les clauses types contractuelles restent valides », tout en regrettant que la décision « élimine l’un des rares moyens fiables de transférer des données de l’autre côté de l’Atlantique ».