Un coup de pied historique dans la fourmilière du transfert de données aux US

On aurait pu croire que la sortie du Royaume Uni de l’Union européenne serait la seule actualité de l’année 2020 en lien avec le caractère extraterritorial du RGPD (Règlement Général sur la Protection des données n°2016/679). C’était sans compter sur la ténacité de Maximilian Schrems, dont le nom restera à jamais gravé dans les annales de la protection des données à caractère personnel. C’est en effet grâce à ce jeune avocat que :

• La Cour de justice de l’Union européenne (CJUE) a invalidé les principes de la « sphère de sécurité » (Safe Harbor) dans l’affaire C-362/14 le 6 octobre 2015.
• La Commission européenne a dû adopter la décision (UE) 2016/1250 relative à l’adéquation de la protection assurée par le Privacy Shield (venu remplacer le Safe Harbor).
• La CJUE a dû examiner dans une décision rendue le 16 juillet 2020, la validité des clauses contractuelles type pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers (CCT), et du Privacy Shield.
• • • •  

1. Maximilian Schrems, l’homme qui a ajouté Facebook en ennemi

Pour rappel, le cadre applicable aux transferts de données à caractère personnel à destination d’un pays tiers est détaillé au sein du chapitre V du RGPD. Les dispositions de ce chapitre imposent notamment la présence de l’un des éléments suivants afin que ce transfert se fasse dans des conditions licites :

• Article 45 du RGPD : Existence d’une décision d’adéquation prise dans les conditions spécifiées dans cet article pour le pays de destination.
• Article 46 du RGPD : Présence de « garanties appropriées » et de la possibilité pour la personne concernée de faire valoir ses droits par le biais de voies de droit effectives.
• Article 47 du RGPD : Approbation par l’autorité de contrôle compétente de règles d’entreprises contraignantes (BCR).
• Article 49 du RGPD : Régime dérogatoire autorisant les transferts hors UE en l’absence d’autres mesures.

Le contentieux qui oppose M. Schrems à Facebook remonte au 25 juin 2013, date à laquelle le jeune juriste autrichien dépose une plainte auprès de l’autorité de contrôle irlandaise. Il y fait valoir que les révélations faites en 2013 par M. Edward Snowden au sujet des activités des services de renseignement des Etats-Unis, le droit et les pratiques des Etats-Unis n’offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données à caractère personnel transférées vers ce pays. L’autorité irlandaise rejette la plainte, sur la base de la décision du 26 juillet 2000 de la Commission européenne validant le régime dit de la « sphère de sécurité », en vertu duquel les Etats-Unis garantissent disposer d’un niveau adéquat de protection des données à caractère personnel.

Saisie de l’affaire, la Haute Cour de Justice irlandaise saisit la CJUE de questions préjudicielles, visant à savoir si une autorité nationale de contrôle se devait d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat et, le cas échéant, de suspendre le transfert de données contesté.

Le 6 octobre 2015, la CJUE se prononce :

• Les autorités de contrôle nationales, saisies d’une demande, se doivent de contrôler les transferts de données personnelles vers des pays tiers, même dans le cas où ces derniers ont fait l’objet d’une décision d’adéquation de la Commission.
• Le système de la « sphère de sécurité » ne garantit pas un niveau de protection adéquat et la décision d’adéquation de la Commission est invalidée.

A la suite de cette annulation, l’autorité irlandaise invite donc M. Schrems à reformuler sa plainte. Il y maintient que les Etats-Unis n’offrent pas de protection suffisante et demande donc la suspension ou l’interdiction du transfert des données à caractère personnel que Facebook réalise désormais sur le fondement des CCT figurant en annexe de la décision 2010/87 de la Commission européenne.

Nota bene :  Pour la bonne compréhension de cet article, il convient ici de préciser que ces CCT sont l’une des « garanties appropriées » visées par l’article 46 du RGPD.

Ce faisant, M. Schrems invite donc l’autorité irlandaise à vérifier la validité de ces clauses, ce qui fait l’objet d’une nouvelle procédure de demande préjudicielle auprès de la CJUE.

Après l’ouverture de cette procédure, la Commission européenne adopte la décision (UE) 2016/1250 relative à l’adéquation de la protection assurée par le Privacy Shield aux Etats-Unis. Dans sa question préjudicielle à la CJUE, la Haute Cour irlandaise s’interroge donc sur la validité de la décision 2010/87 (sur les clauses types) et celle de la décision 2016/1250 (sur le Privacy Shield).

2. L’invalidation du Privacy Shield et la validation des clauses contractuelles types

La Cour s’est prononcée le jeudi 16 juillet 2020 :

• Tout d’abord elle invalide la décision 2016/1250 relative à l’adéquation de la protection assurée par le Privacy Shield.
• En revanche, elle juge que la décision 2010/87 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers est valide.

S’agissant du premier point, la Cour invalide la décision de la Commission européenne validant le niveau de protection garanti par le Privacy Shield en expliquant que « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, […] ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire ».

Elle ajoute que « contrairement à ce que la Commission a considéré dans la décision 2016/1250, le mécanisme de médiation visé par cette décision ne fournit pas à ces personnes une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union, de nature à assurer tant l’indépendance du médiateur prévu par ce mécanisme que l’existence de normes habilitant ledit médiateur à adopter des décisions contraignantes à l’égard des services de renseignement américains ».

Il n’est donc désormais plus possible pour les entreprises de fonder les transferts de données aux Etats-Unis sur le Privacy Shield.

La seconde partie de la décision traite ensuite de la validité des CCT, qui font partie des garanties appropriées visées par l’article 46 du RGPD.

S’agissant ensuite du second point, la Cour valide le transfert de données basé sur les clauses types. Mais comme le précisait l’avocat général dans ses conclusions sur cette affaire : « les garanties appropriées offertes par le responsable du traitement visent à assurer un niveau élevé de protection dans l’hypothèse d’une insuffisance des garanties disponibles dans le pays tiers de destination. Ainsi, si l’article 46 […] permet que des données à caractère personnel soient transférées vers des États tiers n’assurant pas un niveau adéquat de protection, cette disposition n’autorise de tels transferts que lorsque des garanties appropriées sont apportées par d’autres moyens. »

Il en va donc de la responsabilité de l’exportateur de données et du destinataire du transfert de vérifier, préalablement à la conclusion d’un contrat, que les garanties prévues dans les CCT compensent les faiblesses d’un droit national en matière de protection des données à caractère personnel.

Or, comme le souligne l’avocat général dans ses conclusions, « les garanties que contiennent les clauses contractuelles types peuvent être amenuisées, voire annihilées, lorsque le droit du pays tiers de destination impose à l’importateur des obligations contraires à ce que requièrent ces clauses. Ainsi, le contexte juridique prévalant dans le pays tiers de destination peut, en fonction des circonstances concrètes du transfert, rendre impossible l’exécution des obligations prévues par ces clauses. »

Si pour quelque raison qu’il soit, ce niveau de protection garanti par les clauses n’est pas « substantiellement équivalent » (Cf Schrems I) à celui garanti par le RGPD ou qu’il ne peut se conformer au contenu des clauses en raison du droit national, le destinataire devra alors en informer l’expéditeur, qui devra à son tour suspendre le transfert de données et/ou résilier le contrat conclu avec son partenaire.

Les responsables de traitement et les autorités de contrôle peuvent s’appuyer sur un document de travail du Groupe de travail  « Article 29 » (nouvellement Comité européen de la protection des données – CEPD) pour déterminer si une interférence aux droits fondamentaux relatifs à la protection des données est justifiée dans une société démocratique. Quatre garanties essentielles doivent être respectées dans les pays tiers vers lesquelles des données à caractère personnel sont transférées :

1. Le traitement doit être basé sur des règles claires, précises et accessibles.
2. La nécessité et la proportionnalité des intérêts légitimes poursuivis doivent être démontrées.
3. Un mécanisme de surveillance indépendant doit exister.
4. Des voies de recours effectives doivent être disponibles pour les personnes concernées.

Or, pour l’heure, le niveau de protection garanti par les Etats-Unis ne satisfait pas les conditions de ce test, comme en atteste l’annulation du Privacy Shield, et ce, notamment en raison de la très large surveillance permise aux autorités publiques par le droit américain, et des difficultés de recours effectif pour les personnes concernées.

La question qui se pose sur le fond devient alors : Comment pallier les faiblesses du régime juridique de protection des données américain qui ont été pointées par la CJUE afin de pouvoir y transférer des données à caractère personnel ?

3. Alors quelles solutions pour transférer des données aux Etats-Unis ?

Concrètement, cette décision impose aux responsables de traitement souhaitant réaliser (ou réalisant déjà) des transferts de données vers Etats-Unis de fonder ces traitements sur une base autre que celle du Privacy Shield. Il s’agira donc :

• D’avoir adopté des règles d’entreprises contraignantes (Binding corporate rules ou BCR), ou,
• De s’assurer de la présence de garanties appropriées (parmi lesquelles les fameuses CCT), ou,
• D’avoir recours au régime dérogatoire prévu à l’article 49 du RGPD.

1) Les « Binding corporate rules » (Article 47 du RGPD)

L’adoption de BCR est un processus long sur lequel le CEPD (anciennement G29) a publié des lignes directrices. Il convient cependant de rappeler que ces règles ont vocation à s’appliquer aux responsables de traitement et sous-traitants faisant partie d’un même groupe. Elles ne sont donc pas utilisables par tous les responsables de traitement.

2) Les Clauses Contractuelles Types (Article 46 du RGPD)

Les CCT dans leur version actuelle ne sont pas (encore ?) considérées par les autorités compétentes comme étant inapplicables aux Etats-Unis.

La solution à court terme pour les responsables de traitement réalisant des transferts de données vers les Etats-Unis consiste donc à recourir aux CCT dans leur version actuelle. Il conviendra donc de les intégrer à tout nouveau contrat encadrant un transfert de données à caractère personnel vers les Etats-Unis et/ou de réaliser des avenants aux contrats préexistants afin d’y intégrer les CCT. A cet égard, l’association None of your business (co-fondée par M. Schrems) a publié des modèles de courriers et un FAQ que les responsables de traitement peuvent utiliser pour réagir à la décision de la CJUE.

Il convient de noter ici que la Cour a laissé entendre que ces transferts peuvent engager la responsabilité de l’expéditeur et du récipiendaire des données si le niveau de protection des données garanti par les CCT n’est pas suffisant.

Il faudra donc également vérifier si les destinataires américains peuvent se conformer aux obligations contenues dans les CCT et notamment si les autorités américaines sont susceptibles de pouvoir accéder aux données qui leur sont confiées en vertu du droit américain et notamment du Foreign Intelligence Surveillance Act (FISA702) ou de l’Executive Order 12333 (EO 12333). Si tel est le cas, il s’agira ensuite de vérifier si cet accès est nécessaire pour répondre aux finalités spécifiées à l’article 23 du RGPD.

Si à l’issue de cette analyse, il apparaît que les CCT ne sont pas suffisantes pour garantir un niveau de protection adéquat il sera alors nécessaire d’adopter des mesures complémentaires pour garantir ce niveau de protection aux personnes concernées par les données transférées. Il faudra alors veiller à ce que l’adoption de ces mesures ne mettent pas les acteurs de ce transfert dans une situation d’illégalité avec le droit américain.

Un exemple de mesure recommandée serait alors le chiffrement des données transférées aux acteurs américains avec une clé qui ne leur serait pas transmise. Ainsi, quand bien même l’accès aux données serait-il exigé par les autorités américaines, les données seraient chiffrées et le destinataire des données ne serait pas à même de leur confier la clé de déchiffrement.

Une solution similaire serait celle de la pseudonymisation (attention à la différence avec l’anonymisation) des données sans fournir la table des correspondances au destinataire américain.

Il faut également noter que, la Commission européenne a indiqué dans son communiqué du 24 juin 2020 qu’elle procède à un travail de mise à jour des CCT, qui pourraient donc nécessiter un nouvel avenant à leur parution.

La modification du fondement des transferts de données occasionnera aussi une modification des politiques de confidentialité, qui devront préciser le nouveau fondement et les éventuelles mesures complémentaires prises afin de garantir un niveau de protection substantiellement équivalent à celui garanti par le RGPD pour en informer les personnes concernées.

Pour les responsables de traitement américains souhaitant traiter des données à caractère personnel de citoyens européens, il sera nécessaire de mener et documenter une analyse juridique afin de déterminer si les autorités américaines sont susceptibles d’exiger d’accéder aux données en question (y compris auprès de sous-traitants éventuels), mais aussi si les circonstances spécifiques de ce traitement réduisent la vraisemblance d’une telle demande (en fonction de la nature des données, des types de destinataires des données, de la finalité poursuivie…). Le cas échéant, ils seront aussi amenés à déterminer si certaines mesures techniques ou organisationnelles permettent de mitiger ou d’annuler ce risque (chiffrement, minimisation, solutions d’hébergement en UE empêchant l’accès aux données depuis les Etats-Unis…). Ceux-ci devront en tout état de cause s’appuyer largement sur leurs représentants UE (article 27 du RGPD).

3) Régime dérogatoire de l’article 49 du RGPD

Enfin, eu égard à la possible invalidation / mise à jour des CCT et aux considérations ci-dessus exposées, il est également opportun de s’intéresser au régime dérogatoire permis par l’article 49 du RGPD. Celui-ci autorise les transferts de données aux conditions suivantes (liste non exhaustive) :

1. a) Si le consentement de la personne concernée est collecté après qu’elle ait été dûment informée des risques qu’elle encourt.
2. b) Si le transfert est nécessaire à l’exécution de mesures contractuelles ou précontractuelles prises à la demande de la personne concernée.
3. c) Si le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale.

Lorsqu’un transfert ne peut pas être fondé sur une décision d’adéquation, des garanties appropriées ou des BCR, et qu’aucune des dérogations pour des situations particulières visées par l’article 49 ne sont applicables, un transfert vers un pays tiers […] ne peut avoir lieu que si ce transfert ne revêt pas de caractère répétitif, ne touche qu’un nombre limité de personnes concernées, est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée. Bien entendu, le responsable de traitement devra justifier son analyse et notamment avoir évalué toutes les circonstances entourant le transfert de données et offert des garanties appropriées en ce qui concerne la protection des données à caractère personnel. Dans ce cas, le responsable du traitement devra informer l’autorité de contrôle du transfert, mais aussi fournir, en plus des informations habituelles fournies au titre des articles 13 et 14 du RGPD à la personne concernée, une information relative au transfert et aux intérêts légitimes impérieux qu’il poursuit.

A cet égard, le CEPD a également établi des lignes directrices relatives aux dérogations prévues à l’article 49 du RGPD.

Ultime précision, la CNIL a également indiqué le 17 juillet 2020 qu’elle étudiait attentivement l’arrêt de la CJUE et ses implications en lien avec ses homologues européens réunis au sein du CEPD. Ces instances donneront sans doute davantage d’indications sur la marche à suivre prochainement.

N’hésitez pas à visiter notre site pour plus d’informations sur la mise en conformité au RGPD et les services proposés par nos experts !

– Oscar Lourdin