Le 16 juillet 2020, la Cour de Justice de l’Union Européenne (« CJUE ») a rendu un arrêt (C-311/18) très attendu concernant les deux principaux instruments de transfert de données personnelles vers des organisations situées en dehors de l’Espace Economique Européen (« EEE ») :
- La décision n° 2010/87/UE de la Commission européenne du 5 février 2010, instituant des clauses contractuelles types pour le transfert de données personnelles vers des sous-traitants situés en dehors de l’EEE (« CCT ») : cette décision contient un contrat-type qui, complété et signé par les parties au transfert, permet à l’expéditeur de données de transférer des données personnelles vers un destinataire hors EEE ;
- La décision d’exécution (UE) n° 2016/1250 de la Commission du 12 juillet 2016, instituant un « Bouclier de Protection des Données UE – Etats-Unis » ou « Privacy Shield » (« BPD » ou « décision BPD ») et constatant que ce BPD, dont le contenu est issu d’un accord entre l’UE et les Etats-Unis, fournit un niveau adéquat de protection des données aux organisations déclarant s’y conformer auprès des autorités américaines.
Ces deux instruments de transfert visent à assurer que les traitements de données réalisés par les organisations situées dans les pays destinataires des données, respectent un ensemble de règles, garantissant un niveau de protection des données au moins équivalent à celui garanti par le RGPD.
La « sentence » de la Cour : elle déclare les CCT valides, mais annule le BPD. Ce dernier ne peut donc plus servir à transférer des données vers les Etats-Unis. Fort impact sur le millier d’entreprises américaines qui utilisaient ce mécanisme pour recevoir des données d’entreprises européennes, dont notamment les plus grands fournisseurs mondiaux de cloud et les divers prestataires de SaaS, dès lors bien sûr que ces entreprises n’avaient pas pris la peine de mettre en œuvre d’autres garanties appropriées pour couvrir leurs transferts de données.
Après un résumé du contexte factuel, procédural et règlementaire de la décision de la CJUE, nous examinerons trois points tranchés par la CJUE, concernant (i) les pouvoirs des autorités de contrôle en matière de transfert hors EEE, (ii) la validité des CCT et (iii) les motifs d’annulation du BPD.
Cet examen nous permettra de conclure en constatant que si les CCT demeurent un instrument approprié pour transférer des données hors EEE, c’est à la condition supplémentaire, en particulier s’agissant des Etats-Unis, de vérifier que des garanties juridiques, organisationnelles et techniques suffisantes sont réunies.
LE CONTEXTE FACTUEL ET PROCÉDURAL
Maximilian Schrems, activiste et avocat autrichien partie à l’instance, avait déjà été l’origine en 2013 d’une plainte ayant abouti, en 2015, à l’annulation par la CJUE de la décision « Sphère de Sécurité », prédécesseur du BPD.
Estimant que la nouvelle décision BPD n’était toujours pas compatible avec les droits fondamentaux au respect de la vie privée, à la protection des données personnelles et au procès équitable protégés par la Charte des droits fondamentaux de l’Union européenne, l’instance que nous analysons ici découle de la reformulation par M. Schrems de sa première plainte devant l’autorité de contrôle irlandaise, qui est l’autorité compétente pour recevoir les plaintes contre la filiale irlandaise du géant américain Facebook. C’est dans ce cadre que Facebook invoqua la signature de CCT entre la filiale irlandaise et l’entité américaine, rendant selon elle les transferts valides, nonobstant l’invalidité éventuelle du BPD.
En décembre 2015, M. Schrems redemandait donc à l’autorité irlandaise d’interdire les transferts de la filiale vers l’entité américaine du groupe Facebook. L’autorité saisit la Cour suprême irlandaise afin que celle-ci saisisse la CJUE d’un recours préjudiciel devant la CJUE, introduit en juin 2018, tendant notamment à annuler la décision CCT et la décision BPD.
Rappelons que les recours préjudiciels permettent aux juridictions des Etats-Membres de l’UE, dans le cadre d’une instance introduite devant elles, d’interroger la CJUE sur l’interprétation ou la validité d’actes de droit européen, afin que les réponses de la Cour permettent à la juridiction nationale de trancher le litige. La CJUE ne tranche pas elle-même le litige mais répond à ces questions afin d’harmoniser l’interprétation du droit européen dans l’UE et de faire prévaloir la hiérarchie des normes dans l’ordre du droit européen. Les arrêts rendus sur cette base s’imposent, de façon immédiate, à l’ensemble des juridictions et autorités européennes et nationales.
LE CADRE RÈGLEMENTAIRE DES TRANSFERTS HORS EEE
Les transferts de données personnelles vers des organisations situées en dehors de l’EEE sont strictement encadrées par le RGPD.
En premier lieu, l’article 45 prévoit les conditions dans lesquelles la Commission peut prendre des décisions d’adéquation. Ces décisions constatent, après un examen approfondi de la législation d’un pays hors EEE, que ce dernier fournit un niveau de protection des données équivalent à celui fourni dans l’UE. La Commission tient donc une liste des pays considérés comme assurant une protection adéquate des données, vers lesquels les organisations situées dans l’EEE peuvent transférer des données sans avoir à mettre en œuvre davantage de garanties que lorsqu’elles transférent ces données à l’intérieur de l’EEE. L’examen à passer pour le pays hors EEE est difficile, la liste des pays sûrs est donc courte.
Parmi ces pays figuraient les Etats-Unis si, et uniquement si l’organisation destinataire des données avait déclaré adhérer aux principes de protection des données énoncés en annexe de la décision BPD (« Principes du BPD »), cette déclaration prenant la forme d’une auto-certification auprès des autorités américaines. Ces Principes du BPD sont (aujourd’hui étaient) issus d’un accord entre l’UE et les Etats-Unis et c’est donc les Principes du BPD qui faisaient l’objet de la décision d’adéquation.
En second lieu, lorsque le pays visé par le transfert ne fait pas l’objet d’une décision d’adéquation, l’article 46 du RGPD prévoit que les parties au transfert peuvent utiliser des « garanties appropriées » pour rendre ces transferts licites. Parmi ces garanties appropriées, le RGPD prévoit la faculté pour la Commission d’adopter des clauses contractuelles types à signer entre les parties au transfert, comme les CCT ici en cause. Le RGPD précise toutefois que les transferts fondés sur les CCT ne sont valides que si ces CCT sont et peuvent être respectées par l’organisation destinataire, et que les personnes concernées disposent de droits opposables et de voies de recours effectives pour faire respecter les droits que leur confèrent les CCT.
Le BPD et les CCT devaient donc être compatibles avec les conditions décrites respectivement aux articles 45 et 46 du RGPD, ainsi qu’avec les droits fondamentaux au respect de la vie privée, à la protection des données personnelles et au procès équitable, tous protégés par la Charte des droits fondamentaux de l’Union européenne dont la valeur constitutionnelle justifie que ces droits fassent l’objet d’un contrôle de proportionnalité stricte par les juridictions de l’UE.
LES QUESTIONS PRÉJUDICIELLES
- Les pouvoirs des autorités de contrôle dans le cadre des plaintes portant sur des transferts hors EEE fondés sur les CCT et/ou le BPD
Une question préliminaire mais très intéressante posée à la CJUE consistait à savoir si, malgré la certification BPD du destinataire ou la signature de CCT entre les parties au transfert, les autorités de contrôle nationales peuvent suspendre ou interdire des transferts fondés par les parties sur ces instruments, lesquels résultent de deux décisions de la Commission s’imposant a priori à ces autorités.
Afin de répondre à cette question, la CJUE examine les missions données par le RGPD aux autorités de contrôle. Elle constate que ces autorités disposent de vastes pouvoirs d’investigation leur permettant de s’assurer, dans le cadre de transferts transfrontières, que le destinataire respecte concrètement et, vu la législation applicable dans le pays en cause, peut respecter les règles prévues par ces instruments, de sorte qu’une protection équivalente au RGPD soit garantie. Dans le cas contraire, les autorités ont le pouvoir d’interdire ou de suspendre les transferts.
Mais qu’en est-il en présence de CCT ou d’une auto-certification BPD ? La CJUE distingue les deux cas : dans le cas des CCT, la décision de la Commission a adopté un instrument contractuel à utiliser par les parties au transfert. La décision CCT ne fait que constater que les clauses contenues dans cet instrument permettent de faire respecter la législation européenne par le destinataire. En revanche, la décision CCT ne garantit pas que le pays de destination dispose d’une législation suffisamment protectrice, au contraire des décisions d’adéquation comme la décision BPD qui reposent sur un examen approfondi de la législation étrangère.
La Cour en déduit que :
- Dans le cas où le pays destinataire est couvert par une décision d’adéquation de la Commission comme la décision BPD, et que les conditions de cette décision, en l’espèce le mécanisme d’auto-certification américain, est respecté, l’autorité ne peut d’elle-même interdire ou suspendre le transfert car la décision d’adéquation s’impose à elle. Un recours préjudiciel est donc nécessaire afin d’interroger la CJUE sur la validité de la décision d’adéquation au regard des dispositions du droit européen primaire (comme la Charte des droits fondamentaux) ou dérivé (comme le RGPD).
- Dans le cas où le transfert n’est couvert que par des garanties appropriées comme les CCT, l’autorité peut d’elle-même interdire ou suspendre le transfert, dès lors que cette autorité estime que ces garanties appropriées ne sont pas ou ne peuvent pas être respectées dans le pays destinataire, et/ou que les personnes concernées ne disposent pas, dans ce pays, de droits opposables et de voies de recours effectives.
Deux types d’instruments normatifs, pour deux formes de protection. Les pouvoirs des autorités de contrôle sont plus limités en présence de CCT qu’en décision d’adéquation, comme la décision BPD.
- La validité interne et externe des CCT
La Cour distingue deux questions :
- La décision adoptant les CCT est-elle valide malgré le fait qu’un pays destinataire, quel qu’il soit, puisse avoir une législation permettant des pratiques des autorités étrangères irrespectueuses des principes de protection des données ?
- Le contenu des CCT fournit-il, en lui-même, un niveau de protection suffisant des données ?
Sur la première question, la Cour estime que la possibilité d’ingérences des autorités du pays destinataire n’affecte pas d’elle-même la validité des CCT, car :
- L’article 46 du RGPD prévoit la faculté pour les parties de fonder le transfert sur des garanties appropriées, en l’espèce des CCT, si et uniquement si les personnes concernées disposent, en outre, de « droits opposables » et de « garanties de recours effectifs » ;
- L’article 46 du RGPD ne prévoit pas que les décisions de la Commission adoptant des garanties appropriées fournissent d’elles-mêmes toutes les garanties permettant d’assurer un niveau de protection adéquat dans le pays destinataire, de sorte que pour trancher la question de la validité de la décision CCT, il est indifférent qu’il ne s’agisse que d’un contrat ne liant pas les autorités étatiques étrangères ;
- Les garanties appropriées et les décisions d’adéquation sont de natures totalement différentes et, comme il a été rappelé plus haut, ne s’imposent pas de la même façon aux autorités de contrôle ; partant, si les CCT ne permettaient pas d’assurer un niveau de protection adéquat dans un pays en particulier, cela n’affecte pas la validité des CCT : il reviendrait aux parties au transfert de mettre en place des « mesures supplémentaires » pour rendre le transfert licite et, ainsi, se préserver d’une suspension du transfert par les autorités de contrôle. Nous revenons plus bas sur ces « mesures supplémentaires » qui représentent probablement l’apport le plus important de l’arrêt.
Sur la seconde question, la Cour estime que les CCT assurent un niveau de protection adéquat, notamment car :
- Les CCT soumettent les parties à la législation européenne sur la protection des données, aujourd’hui le RGPD, notamment l’obligation pour les parties de satisfaire aux demandes d’exercice des droits effectuées par les personnes concernées (« droits opposables ») ;
- Par ces CCT, l’organisation située dans l’EEE et le destinataire garantissent que la législation du pays destinataire permette de respecter ces CCT ;
- Si cette législation n’était pas ou plus conforme aux CCT et à la législation européenne sur la protection des données, les CCT obligent le destinataire à le signaler à l’organisation émettrice des données, obligeant alors cette dernière à suspendre le transfert.
Ainsi, si l’on examine les CCT in abstracto, la responsabilité effective de toutes les parties au transfert ainsi que les droits opposables des personnes concernées sont garanties.
De ces deux réponses, la Cour estime qu’il n’existe aucune raison d’annuler la décision CCT.
- L’incompatibilité des ingérences du renseignement américain avec le RGPD et les droits fondamentaux au respect de la vie privée, à la protection des données et au procès équitable
L’arrêt vient graver dans le marbre un constat notoire : les standards européens de protection du droit au respect de la vie privée contre les ingérences des officines de renseignement sont, du moins formellement, plus élevés que les standards américains.
- Les dérogations prévues dans le BPD
Le BPD prévoit que l’adhésion aux Principes du BPD peut être limitée par des « exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation » américaine (point I.5 de l’annexe II de la décision BPD). Cette dérogation rend possible des ingérences aux Principes du Privacy Shield sans garantie supplémentaire qui viendrait limiter ces ingérences.
Dans le RGPD, des dérogations existent également. Mais elles concernent des obligations bien délimitées (certains droits des personnes concernées, certaines modalités de notification aux autorités, etc.) et sont assorties de diverses garanties devant être transposées en droit interne. Cette exigence de limitation des dérogations a, en Europe, une valeur normative supérieure aux lois nationales des Etats-Membres. A l’inverse, en droit américain, ce sont ces dérogations qui ont une valeur supérieure.
Dès lors une telle dérogation, vu son degré de généralité, n’est pas compatible avec les standards européens.
- Le niveau de protection garanti par le BPD
L’annulation du BPD résulte d’une confrontation entre (i) les garanties offertes en droit américain contre l’arbitraire des autorités étatiques américaines et (ii) les standards européens de protection des droits fondamentaux.
- La non-proportionnalité des ingérences
La loi américaine dite FISA (« Foreign Intelligence Surveillance Act ») et l’Executive Order 12333 (qui définit les objectifs, rôles et responsabilités de la communauté du renseignement des États-Unis) mettent en œuvre des programmes de surveillances aux fins notamment de renseignement extérieur.
La Cour, suivant en cela l’avis du CEPD et l’avis de l’Avocat Général de la Cour, reproche notamment à ces dispositifs américains de permettre une « collecte en vrac […] d’un volume relativement important d’informations ou de données issues du renseignement d’origine électromagnétique dans des conditions où les services de renseignement ne peuvent pas utiliser d’identifiant associé à une cible spécifique […] pour orienter la collecte ». Vu le manque d’effort des américains, notamment son gouvernement fédéral actuel, l’annulation était, de l’avis des praticiens et observateurs, tout à fait prévisible.
En effet, sous l’angle du droit européen, toute ingérence aux droits fondamentaux doit être nécessaire et strictement proportionnée aux objectifs poursuivis par l’ingérence. C’est ce contrôle de proportionnalité qui est matérialisé, sous diverses dispositions, dans le RGPD.
A la lumière de la protection des droits fondamentaux, les juges vérifient donc concrètement qu’il n’existe aucun moyen plus protecteur pour les autorités d’atteindre leurs objectifs. Une collecte de données aussi généralisée, « en vrac » soit non ciblée, sans aucun critère de ciblage a priori ni a posteriori, ne peut être considérée comme la seule façon d’atteindre les objectifs poursuivis dans le cadre du renseignement extérieur (lutte contre le terrorisme, etc.). Le BPD ne faisant pas obstacle à de telles ingérences et à la surveillance généralisée mise en œuvre et révélée notamment par l’affaire Snowden, il n’est pas compatible avec le niveau européen de protection des droits fondamentaux.
- Un accès insuffisant, pour les citoyens européens, à des recours effectifs
L’article 47 de la Charte des droits fondamentaux garantit, à toute personne dont les droits et libertés ont été violés, un recours effectif devant un tribunal, où sa cause devra pouvoir être entendue équitablement, publiquement et dans un délai raisonnable par un tribunal indépendant et impartial.
La Cour constate qu’il existe bien des recours juridictionnels en droit américain, ouverts aux non ressortissants, pour voir réparer les conséquences d’ingérences des autorités et agences étatiques de renseignements. Mais la Cour constate également que ces recours ne couvrent pas toutes les possibilités d’ingérence. En effet, certaines bases légales en droit U.S. permettent aux autorités américaines de faire obstacle à ces recours, en particulier s’ils sont introduits par des non-ressortissant.
Pour parer cette lacune, un médiateur avait été mis en place par le BPD. Ce dernier pouvait être saisi et permettre aux citoyens européens d’obtenir des informations, de contester la légalité des ingérences, etc., sur le modèle des autorités de contrôle européennes. Mais là encore, la Cour estime que les standards européens ne sont pas atteints. Le RGPD garantit l’indépendance et l’impartialité des autorités de contrôles européennes afin de préserver ces dernières de toute tentative d’influence par les gouvernements nationaux. Or, selon la Cour, le médiateur BPD ne peut se prévaloir d’un tel niveau d’indépendance, puisqu’il n’existe aucune garantie concrète et effective contre sa révocation par l’administration fédérale américaine.
Ingérences possibles, recours insuffisants, autorité de contrôle trop dépendante : l’annulation devient inévitable.
- Conclusions : les CCT ne suffisent pas, des garanties supplémentaires sont à prévoir
L’annulation du BPD est le point qui, dans cette décision, fera le plus grand bruit. On le comprend : contexte Snowden, impact sur l’activité économique notamment pour les transferts de données entre les entités des groupes internationaux, pour les transferts entre partenaires commerciaux dépendant de services informatiques type cloud computing, etc.
Qui plus est, la Cour annule la décision BPD en refusant explicitement d’instaurer une période transitoire qui permettrait aux organisations de prendre le temps de se préparer aux effets de cette annulation, par exemple en concluant des CCT. Dès le 16 juillet 2020, les transferts vers les Etats-Unis fondés uniquement sur le BPD sont illicites et passibles d’une amende de 20 000 000 EUR ou de 4 % du chiffre d’affaires annuel mondial de l’entreprise en cause. Cela dit, les plus grands acteurs (GAFA, etc.), qui monopolisent une part considérable des échanges de données, avaient anticipé l’annulation et disposaient de CCT, modérant l’impact économique global de la décision.
En définitive, l’un des apports les plus décisifs de l’arrêt de la CJUE résulte de son analyse de la nature des garanties appropriées et de la protection offerte par les CCT. Relisons les points en cause :
« Dès lors (…), il peut s’avérer nécessaire de compléter les garanties que contiennent ces clauses types de protection des données. À cet égard, le considérant 109 dudit règlement énonce que « [l]a possibilité qu’ont les responsables du traitement […] de recourir à des clauses types de protection des données adoptées par la Commission […] ne devrait pas les empêcher […] d’y ajouter d’autres clauses ou des garanties supplémentaires » et précise, en particulier, que ceux-ci « devraient être encouragés à fournir des garanties supplémentaires […] qui viendraient compléter les clauses types de protection [des données] ».
(…) Dans la mesure où ces clauses types de protection des données ne peuvent, eu égard à leur nature, fournir des garanties allant au-delà d’une obligation contractuelle de veiller à ce que le niveau de protection requis par le droit de l’Union soit respecté, elles peuvent nécessiter, en fonction de la situation prévalant dans tel ou tel pays tiers, l’adoption de mesures supplémentaires par le responsable du traitement afin d’assurer le respect de ce niveau de protection.
Il appartient, dès lors, avant tout, à ce responsable du traitement ou à son sous-traitant de vérifier, au cas par cas et, le cas échéant, en collaboration avec le destinataire du transfert, si le droit du pays tiers de destination assure une protection appropriée, au regard du droit de l’Union, des données à caractère personnel transférées sur le fondement de clauses types de protection des données, en fournissant, au besoin, des garanties supplémentaires à celles offertes par ces clauses.
À défaut, pour le responsable du traitement ou son sous-traitant établis dans l’Union, de pouvoir prendre des mesures supplémentaires suffisantes pour garantir une telle protection, ceux-ci ou, à titre subsidiaire, l’autorité de contrôle compétente sont tenus de suspendre ou de mettre fin au transfert de données à caractère personnel vers le pays tiers concerné. »
On comprend que la conclusion de CCT ne suffit pour rendre valides les transferts hors EEE. Les parties au transfert, notamment le responsable du traitement en collaboration avec son cocontractant étranger, doivent mener une analyse préalable afin de s’assurer que la législation de ce destinataire respecte et permettra concrètement de respecter (i) les clauses contenues dans les CCT et (ii) le standard de protection instauré par le RGPD. Les CCT ayant été adoptées sous l’empire de la législation antérieure au RGPD, l’arrêt fait office de première mise à niveau, en attendant que la Commission adopte de nouvelles CCT. Vu les motifs de l’annulation du BPD, on peut déjà affirmer que les CCT seules ne sont pas suffisantes pour assurer une protection des données suffisante aux Etats Unis !
Plutôt que d’attendre une nouvelle négociation entre l’EU et les U.S., difficile dans le contexte actuel, plutôt que de s’estimer conforme et préserver de toute sanction grâce à la simple signature de CCT, il importe désormais de se « responsabiliser » comme le demande la Cour. C’est-à-dire de mener, avant tout transfert risqué, une analyse des risques, une évaluation du niveau de protection offert par la législation étrangère et des conditions qui permettront au destinataire de respecter des CCT. Puis d’en tirer des conclusions éventuelles en termes de « mesures supplémentaires » à mettre en place. Quelles peuvent être ces mesures ?
En fonction des résultats de l’analyse de risque, il est tout d’abord recommandé d’assortir les CCT de mesures contractuelles supplémentaires, de procédures supplémentaires, de couvrir l’ensemble des obligations du RGPD (analyse d’impact, procédure de gestion des droits, nouvelles bases légales, gouvernance des données, etc.). Toutefois, pour certains pays comme les Etats-Unis où le déficit de conformité est pour l’instant trop important, de telles mesures juridiques ne seront pas suffisantes. Elles devront être accompagnées de mesures techniques et organisationnelles directement applicables, appliquées et contrôlées au sein de l’organisation destinataire, telles que des mécanismes de chiffrement, de mise au rebut des données, des mécanismes d’anonymisation, d’une séparation des serveurs EU et des serveurs U.S., des mécanismes de contrôle d’accès extrêmement stricts.
Il y a fort à parier que les Codes de Conduites et Certifications prévues par le RGPD pour garantir la légalité des transferts internationaux, qui n’ont pas encore été adoptés par les autorités européennes, intègreront ce type de mesures.
Entreprises, sociétés privées, établissements publics, associations, etc.
L’EEE comprend tous les Etats-Membres de l’UE et le Liechtenstein, la Norvège et l’Islande.
Qui depuis le Traité de Lisbonne a la même valeur que les traités européens, soit la plus haute valeur normative possible dans l’ensemble de l’Union Européenne (supérieure aux lois nationales et aux directives et règlements européens).
L’annulation du BPD était donc en quelque sorte prévisible.