Second coup de tonnerre européen en deux jours : la CJUE vient d’annuler le Privacy Shield. Elle valide par contre les clauses types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers.
Après avoir fait annuler le « Safe Harbor » en 2015, l’Autrichien Maximillian Schrems s’est attaqué aux transferts des données personnelles vers les États-Unis. Il estime que les clauses contractuelles de Facebook ne seraient pas conformes aux règles publiées par la Commission européenne en 2010.
Pour poser le décor, la Cour de justice de l’Union européenne (CJUE) rappelle que Schrems « est un utilisateur de Facebook depuis 2008. Comme pour les autres utilisateurs résidant dans l’Union, les données à caractère personnel de M. Schrems sont, en tout ou en partie, transférées par Facebook Ireland vers des serveurs appartenant à Facebook Inc., situés sur le territoire des États-Unis, où elles font l’objet d’un traitement ».
Après le Safe Harbor, la CJUE dégomme le Privacy Shield
L’histoire débute par une plainte auprès de l’autorité irlandaise de régulation et de contrôle avec pour but de « faire interdire ces transferts », en soutenant que le « droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre l’accès, par les autorités publiques, aux données transférées vers ce pays ».
Comme le rappelle la Cour, le règlement général relatif à la protection des données (RGPD) prévoit que le « transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données ». Les révélations d’Edward Snowden sont un exemple parmi d’autres des « libertés » prises par les agences de renseignements américaines comme la NSA et le FBI.
L’Irlande a rejeté cette plainte « au motif notamment que, dans sa décision 2000/520, la Commission avait constaté que les États-Unis assuraient un niveau adéquat de protection ». Fin de l’histoire ? Non, pas vraiment. Un chamboulement est intervenu le 6 octobre 2015 quand la CJUE a jugé cette décision invalide faisant des confettis du Safe Harbor.
Suite à cette annulation, l’autorité de contrôle irlandaise a donc invité Maximillian Schrem à « reformuler sa plainte ». Sans surprise, il y maintient que les États-Unis « n’offrent pas de protection suffisante des données », et demande donc de « suspendre ou d’interdire » le transfert des données à caractère personnel « que Facebook Ireland réalise désormais sur le fondement des clauses types de protection figurant à l’annexe de la décision 2010/87 ».
Pour l’autorité irlandaise, la question de la validité de cette décision 2010/87 se pose et elle lance donc une procédure devant la High Court afin que cette dernière soumette à la Cour de justice de l’Union européenne une demande préjudicielle. Cette procédure permet pour rappel « d'interroger la Cour sur l'interprétation du droit de l’Union ou sur la validité d'un acte de l’Union. La Cour ne tranche pas le litige national. Il appartient à la juridiction nationale de résoudre l'affaire conformément à la décision de la Cour ».
Une seconde affaire vient se greffer en cours de route : « Après l’ouverture de cette procédure, la Commission a adopté la décision (UE) 2016/1250 relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis », alias Privacy Shield.
La CJUE devait se prononcer sur les deux décisions, le verdict vient de tomber : « par son arrêt de ce jour, la Cour constate que l’examen de la décision 2010/87 au regard de la charte des droits fondamentaux de l’Union européenne ne révèle aucun élément de nature à affecter sa validité. En revanche, elle déclare la décision 2016/1250 invalide ».
#CJUE: la décision « bouclier de protection des données UE-États-Unis » est invalidée mais la décision de la @EU_Commission sur les clauses types pour le transfert de données vers des sous-traitants dans des pays tiers est validée #Facebook #Schrems pic.twitter.com/Rzk0oGTbyL
— Cour de justice UE (@CourUEPresse) July 16, 2020
Ainsi, la décision de la Commission européenne sur le « bouclier de protection des données UE-États-Unis » est purement et simplement annulée. Après l’annulation du redressement fiscal de 13 milliards d’euros d’Apple, c’est un nouveau camouflet pour la Commission européenne.
La prémonition de Maximillian Schrems
Maximillian Schrems était sceptique sur l’efficacité de ce « bouclier de la vie privée », expliquant qu’il était « le produit de la pression des États-Unis et de l'industrie des technologies, non le fruit d’une démarche rationnelle ou de considérations raisonnables. Il est un peu plus qu'une petite mise à jour de Safe Harbor, mais non un nouvel accord ».
Il ajoutait que cet accord était « mauvais pour les utilisateurs, qui ne pourront profiter des protections appropriées contre les atteintes à la vie privée, mais également pour les entreprises qui font face à une législation instable ». Pour lui, « la Commission européenne et le gouvernement des États-Unis ont finalement réussi à mécontenter tout le monde ».
Dans une tribune sur The Irish Time, il ajoutait : « étant donné ses nombreux manquements, il est très probable qu’il soit invalidé par la justice européenne ». La CJUE vient de lui donner raison.
Les protections aux États-Unis sont insuffisantes
Pour justifier sa décision, la CJUE explique que « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, […] ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire ». Un point qui ne devrait pas surprendre grand monde…
Dans son exposé des faits, elle ajoute que « contrairement à ce que la Commission a considéré dans la décision 2016/1250, le mécanisme de médiation visé par cette décision ne fournit pas à ces personnes une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union, de nature à assurer tant l’indépendance du médiateur prévu par ce mécanisme que l’existence de normes habilitant ledit médiateur à adopter des décisions contraignantes à l’égard des services de renseignement américains ».
Les clauses types validées
Par contre, la décision 2010/87 sur les « clauses types pour le transfert de données vers des sous-traitants dans des pays tiers est validée ». Elle ajoute quelques précisions au passage que « cette validité dépend du point de savoir si ladite décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer ».
Elle ajoute que « cette décision instaure une obligation pour l’exportateur des données et le destinataire du transfert de vérifier, au préalable, que ce niveau de protection est respecté dans le pays tiers concerné et qu’elle oblige ce destinataire à informer l’exportateur des données de son éventuelle incapacité de se conformer aux clauses types de protection, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu avec le premier ».
Maximillian Schrems aux anges
Sans surprise, Maximillian Schrems se félicite de ce jugement : « après une première lecture de l'arrêt du Privacy Shield, il semble que nous ayons remporté une victoire à 100 %, pour notre vie privée. Les États-Unis devront engager une réforme sérieuse de la surveillance pour retrouver un statut "privilégié" pour les entreprises américaines ».
