1. La décision de la Cour de Justice
Le 16 juillet 2020, la Cour de Justice de l’Union européenne a rendu un arrêt par lequel elle a annulé l’accord « Privacy Shield » conclu en 2016 entre l’Union Européenne et les Etats-Unis. Cette décision fait suite à une plainte du juriste autrichien Max Schrems à l’encontre de Facebook. Dans le cadre du litige opposant les deux parties précitées, la juridiction irlandaise chargée de trancher le litige a alors posé une question préjudicielle à la Cour de Justice.
2. En quoi consistait cet accord ?
L’accord dit « Privacy Shield » est donc un accord visant à permettre le transfert de données personnelles de l’Europe vers les États-Unis.
En effet, dans l’Union européenne, le traitement des données à caractère personnel est strictement encadré par le Règlement Général sur la Protection des Données (RGPD) alors que le niveau de protection de ces données aux Etats-Unis est moins élevé. L’objectif du Privacy Shield était donc de garantir aux citoyens européens que les données personnelles qui sont transférées et stockées aux Etats-Unis dans le cadre de cet accord bénéficient d’un niveau de protection similaire à ce qu’offre le RGPD. Concrètement, pour pouvoir traiter les données personnelles de leurs utilisateurs européens, les entreprises américaines devaient s’engager à respecter les mesures prévues par l’accord Privacy Shield en matière de protection de données.
Ce dispositif était utilisé par de très nombreuses entreprises, de la multinationale comme Google à la simple PME, dans la mesure où il leur permettait de traiter les données personnelles de leurs utilisateurs européens.
3. Arguments de la CJUE
La CJUE s’est principalement basée sur deux arguments pour justifier sa décision.
Premièrement, les entreprises américaines qui adhèrent au Privacy Shield sont tenues de garantir un niveau de protection des données adéquat au sens de l’article 45, § 1, du RGPD. Néanmoins, l’accord prévoit des possibilités de restriction de cette protection, notamment au profit des autorités publiques américaines pour des questions de sécurité nationale et d’intérêt public. Cette restriction doit toutefois être limitée à ce qui est strictement nécessaire pour atteindre l’objectif légitime visé et il doit exister une protection juridictionnelle effective contre ce type d’ingérence.
En l’espèce, les programmes de surveillance américains permettaient aux services de renseignement d’accéder massivement aux données personnelles en provenance de l’Europe sans limitation ni encadrement judiciaire et n’offraient aucune garantie juridictionnelle aux personnes non américaines. Dès lors que l’accès aux données n’est pas limité à une cible particulière mais porte sur la masse des données personnelles transitant vers les Etats-Unis, la CJUE a estimé que la restriction ne se limite donc pas à ce qui est nécessaire à la poursuite des objectifs légitimes visés par les autorités publiques américaines et était donc excessive. Cette contradiction entre la possibilité d’accéder aux données au profit des services de renseignement américains et la stricte protection offerte par le RGPD est ce qui a poussé la CJUE à affirmer que le niveau de protection américain n’était pas adéquat, malgré l’accord Privacy Shield.
Deuxièmement, l’accord Privacy Shield doit être conforme à l’article 47 de la Charte des droits fondamentaux qui consacre le droit de toute personne à un recours effectif et à accéder à un tribunal impartial. Or, il n’existe pas de voies de recours effectives opposables aux autorités publiques américaines et garantissant le respect des droits des personnes non-américaines dont les données personnelles sont traitées. L’accord met, certes, en place une procédure de médiation mais cette procédure contrevient à l’article 47 précité étant donné que le médiateur dépend directement du secrétaire d’Etat qui est lui-même une autorité publique. Il ne peut donc être indépendant et impartial.
Pour ces raisons, la CJUE a estimé que l’accord Privacy Shield n’offrait pas un niveau de protection équivalent et était donc incompatible avec le RGPD et la Charte des droits fondamentaux et l’a donc entièrement invalidé.
4. Conséquences et alternatives
L’annulation du Privacy Shield aura des conséquences pour les entreprises américaines qui bénéficiaient du dispositif. En effet, il ne leur suffit plus de se conformer au Privacy Shield pour pouvoir transférer les données personnelles de leurs utilisateurs européens vers les Etats-Unis.
Toutefois, la Cour s’est assurée de ne pas rendre impossible les transferts de données. En effet, elle a confirmé la validité des clauses contractuelles types (figurant à l’annexe de la décision 2010/87 de la Commission) permettant le transfert de données depuis l’Union européenne vers des importateurs établis hors de l’Union. Les entreprises pourront donc toujours assurer le transfert de données personnelles en utilisant ces clauses contractuelles types, à condition que l’Etat européen, dont proviennent les données personnelles, s’est assuré que le niveau de protection dans le pays tiers (USA ou autre) était équivalent à celui de l’Union européenne.
Si vous souhaitez obtenir de plus amples informations à ce sujet ou si vous avez des questions spécifiques concernant les transferts de données, n'hésitez pas à contacter notre cabinet d'avocats Sub Rosa Legal par e-mail ou par téléphone au 02/538.32.50.
Jordan Mabiala
Avocat Sub Rosa Legal