C’est un nouveau coup de tonnerre qui a résonné dans le ciel européen ce 16 juillet. Un arrêt de la grande chambre de la Cour de justice de l’Union européenne est venu invalider le « bouclier de vie privée » ou Privacy Shield. Un bouclier de fer qui n’était que de papier. Retour sur cette décision fondamentale.
La date du 6 octobre 2015 avait déjà donné le ton. Ce jour, la même juridiction mettait à terre le Safe Harbor. L’accord avait été porté par la Commission européenne 15 ans plus tôt, en 2000, aux premiers pas de la généralisation de l'accès au Net dans les foyers.
Avec ce « Port sûr » estampillé sur le drapeau étoilé, les États-Unis se voyaient pourtant considérés comme aussi protecteurs qu’un État membre européen. Ce label de confiance de la Commission assurait une présomption de légalité dont de nombreux géants US ont pu profiter lors de l’explosion des services en ligne installés en Californie.
Certes d’autres véhicules juridiques étaient mobilisables, comme les clauses contractuelles types ou les Binding Corporate Rules (BCR), des codes de conduite interne aux entreprises… Le Safe Harbor toutefois n’en constituait pas moins la voie royale pour les pipelines de données personnelles.
La fameuse sphère de confiance avait toutefois été laissée intacte alors que les révélations Snowden s’abattaient sur les écrans dans les années 2010. Largement responsable de ce laisser-aller, l’institution bruxelloise n’en tirait aucune conséquence, aucune remise en cause. Une passivité fautive, et plus encore puisque le texte souffrait de vices de conception passés sous son nez au moment de la signature originelle : il offrait un trop vaste accès aux autorités publiques américaines, soit autant d’ingérences dans la vie privée de millions de personnes, pour des motifs flous et trop généreux.
Le 6 octobre 2015, dans une procédure initiée par un petit Poucet du numérique, Maximilien Schrems, la CJUE dressait une liste ahurissante des failles du Safe Harbor, avant d’asséner son coup d’épée fatal : l’invalidation de l’accord de 2000. Ou comment l’étudiant autrichien abattait le géant Safe Harbor, obligeant Bruxelles à un « reboot » juridique.
Le Privacy Shield, un bouclier de fer, un bouclier de papier
Ce reboot, c’est le Privacy Shield. Nouveau nom, nouveau marketing, nouvelle « marque » concoctée savamment. La Commission pouvait se glorifier, torse gonflé, d’une belle avancée. Promis, avec ce bouclier, flux et stocks de données personnelles allaient enfin être dignement protégés, malgré l’appétit des services de sécurité US.
Le texte était dévoilé en février 2016. « Les autorités américaines ont donné des assurances formelles que le "bouclier de protection des données " serait appliqué de façon rigoureuse, et que les services nationaux de sécurité ne se livraient à aucune surveillance de masse », s’enchantait la Commission européenne.
En juillet 2016, il était finalisé, prêt à être appliqué. « Nous avons travaillé très dur avec nos partenaires américains » poursuivait Bruxelles avant d’affirmer que ce bouclier « comprend des obligations plus contraignantes » et qu’il sera « appliqué plus rigoureusement par les États-Unis ». Par exemple, « tout accès aux données par les autorités américaines sera limité au strict nécessaire et sur la base des réformes portant sur le renseignement annoncées par Barack Obama ». Au menu, promesses de mises à jour régulières, de réexamen, des collectes ciblées, presque chirurgicales, un droit au recours pour les citoyens européens… N’en jetez plus !
Dans d’autres camps, le doute s’est cependant rapidement installé. Maximilien Schrems ou la Quadrature du Net n’ont pas tardé à exprimer des critiques sur la composition de ce bouclier, fait plutôt de tendre plomb que d’inflexible acier.
En avril 2017, mêmes remarques de la part d’eurodéputés, inquiets des nouvelles lois américaines permettant « à la NSA, depuis janvier 2017, de partager avec 16 autres agences, dont le FBI, de grandes quantités de données personnelles collectées sans mandat ni décision de justice ou autorisation du Congrès ». Ces eurodéputés ne se sont pas privés pour épingler le « manque d’indépendance » du médiateur prévu par le Privacy Shield, outre le caractère illusoire du droit au recours des Européens .
La même année, en décembre, les « CNIL » européennes réunies autour du Groupe de l’Article 29 publiaient leur rapport conjoint, égrenant de nombreux points de rouille sur ce même bouclier avec, toujours en tête des inquiétudes, l’accès aux données aux fins de sécurité nationale. La réactivation de la section 702 de la loi sur la surveillance et le renseignement étranger (loi FISA) légitimaient ces craintes, sans compter l’Executive Order 12333, une directive présidentielle autorisant les agences de renseignement à opérer au-delà des frontières, hors des cadres habituels.
En juillet 2018, le Parlement européen remettait le couvert, alors que Cambridge Analytica révélait ses ombres via les données aspirées par l’ogre Facebook.
La France de Macron au chevet du Privacy Shield
Au même moment, en France, le gouvernement avait opté pour un autre cap, assurant dans un dossier soulevé par la Quadrature du Net, FDN et FFDN, que le Privacy Shield était particulièrement satisfaisant. Pour l’exécutif français, la décision d’adéquation de la Commission offre désormais un niveau satisfaisant pour encadrer aux États-Unis l’accès et l’utilisation « des données à caractère personnel […] à des fins de sécurité nationale, de respect de la loi ou d'intérêt public », mais aussi garantir « l'existence des voies de droit ».
Une position à mille lieues du programme présidentiel d’Emmanuel Macron, qui promettait pourtant une renégociation du texte « afin de garantir la préservation des données personnelles de tous les Européens ».
C’est donc dans ce contexte contrasté qu’est née l’affaire dite Schrems 2, dont l’épilogue fatal s’est déroulé la semaine dernière.
Quand un utilisateur souhaite couper le robinet Facebook
Rembobinons les faits. En 2013, l'Autrichien Max Schrems, alors étudiant, s’était abrité derrière son statut d’utilisateur de Facebook pour saisir la CNIL irlandaise. Il réclamait devant l’autorité indépendante une injonction interdisant au réseau social de transférer ses données outre-Atlantique.
Le Data Protection Commissioner rejeta sa demande, en s’abritant derrière l’écran du Safe Harbor : puisque ce texte avait été validé par la Commission, celui-ci était nécessairement valide.
Schrems poursuivit sa bataille devant la High Court irlandaise, qui renvoya la balle devant la CJUE où le document fut donc invalidé. C’est l’arrêt Schrems 1, annulant le Safe Harbor. Ces points de droit désormais jugés, l’affaire est revenue devant les juridictions internes où Schrems a été invité à mieux reformuler sa plainte. Ce qui fut fait le 1er décembre 2015. Il ajusta le tir, visant cette fois les clauses contractuelles types (CCT) utilisées par Facebook, à savoir des modèles de contrats de transfert de données personnelles adoptés eux-aussi par la Commission européenne.
Il réclama encore et toujours la fermeture du robinet vers Facebook Inc., au motif « que le droit américain impose à Facebook inc. de mettre les données à caractère personnel qui lui sont transférées à la disposition des autorités américaines, telles que la National Security Agency (NSA) et le Federal Bureau of Investigation (FBI) » (extrait de l'arrêt de la CJUE). Des données un peu trop butinées à son goût par les programmes de surveillance américains, aux antipodes des principes ciselés par la Charte des droits fondamentaux de l’Union européenne.
Le 24 mai 2016, le Commissaire irlandais publie un projet de décision. Selon le résumé de la CJUE, « il a considéré provisoirement que les données à caractère personnel des citoyens de l’Union transférées vers les États-Unis risquent d’être consultées et traitées par les autorités américaines d’une manière incompatible » avec la Charte. Il dénonce la faible solidité de voies de recours, théoriquement reconnues aux Européens. Il relève encore que les fameuses clauses contractuelles types n’engagent finalement que les parties au contrat (Facebook et les utilisateurs), mais non les autorités américaines.
Et c’est dans ce contexte que le commissaire a saisi la High Court.
Prism, UpStream et l’Executif Order 12333
Le 3 octobre 2017, la juridiction irlandaise saisit une nouvelle fois son homologue européen. Dans les documents annexés, elle se penche sur l’article 702 du FISA, qui « permet au procureur général et au directeur du renseignement national d’autoriser conjointement (…) aux fins de se procurer des "informations en matière de renseignement extérieur", la surveillance de ressortissants non américains se trouvant en dehors du territoire des États-Unis et sert, notamment, de fondement aux programmes de surveillance Prism et Upstream ». Deux programmes dénoncés par Snowden.
Avec Prism, les fournisseurs de services Internet doivent fournir à la NSA « toutes les communications envoyées et reçues par un "sélecteur", une partie d’entre elles étant également transmise au FBI et à la Central Intelligence Agency (CIA) (agence centrale de renseignement) ».
Avec UpStream, « les entreprises de télécommunications exploitant la « dorsale » de l’internet – c’est-à-dire le réseau de câbles, commutateurs et routeurs – sont contraintes de permettre à la NSA de copier et de filtrer les flux de trafic Internet afin de recueillir des communications envoyées par ou reçues par ou concernant le ressortissant non américain visé par un "sélecteur" ». Une exploitation qui concerne aussi bien les contenus que les métadonnées des échanges.
La juridiction irlandaise fournit également des éléments sur l’Executif Order 12333. Toujours selon le résumé fait par la CJUE, il « permet à la NSA d’accéder à des données "en transit" vers les États-Unis, en accédant aux câbles sous-marins posés sur le plancher de l’Atlantique, ainsi que de recueillir et de conserver ces données avant qu’elles arrivent aux États-Unis et y soient soumises aux dispositions du FISA ».
La Haute Cour va jusqu’à constater que « les États-Unis procèdent à un traitement de données en masse, sans assurer une protection substantiellement équivalente à celle garantie par […] la Charte ».
Ce sombre tableau s’obscurcit lorsque la même juridiction indique que les citoyens de l’Union disposent outre-Atlantique de moins de droits que les ressortissants américains, s’agissant des recours. Pire, même les maigres recours censés leur être reconnus « se heurtent à des obstacles importants, en particulier à l’obligation – selon elle excessivement difficile à satisfaire – de justifier de leur qualité pour agir ». Et pour couronner le tout, « les activités de la NSA fondées sur l’E.O. 12333 ne font pas l’objet d’une surveillance judiciaire et ne sont pas susceptibles de recours juridictionnels ». Enfin, elle épingle le rôle du médiateur du bouclier de protection de données, lequel « ne constitue pas un tribunal ».
Évidemment, Facebook a tenté le tout pour le tout pour éviter que la procédure Schrems 2 n’aille trop loin. Elle a argué que la décision d’adéquation (le Privacy Shield) liait les autorités nationales. Le réseau si social a même tenté de faire tomber l’édifice de cette procédure en soulignant qu’elle était fondée sur l’ancêtre du RGPD, la directive 95/46 depuis lors abrogée.
Saisie d’un flot de questions préjudicielles, la Cour a balayé ces questions de recevabilité, principalement parce que la demande lui est parvenue alors que la directive antérieure était toujours en vigueur, mais aussi parce que le règlement a repris les articles en cause. Et accessoirement, parce que la CJUE est chargée d’interpréter le droit de l’Union « même si ces dispositions ne sont pas indiquées expressément dans les questions qui lui sont adressées par ces juridictions ».
Ce qui explique pourquoi sa (très) longue décision est architecturée sur le seul règlement sur la protection des données personnelles.
De l’application du RGPD aux transferts hors UE
La première question posée est simple. Il s’agit de savoir si le RGPD s’applique aux transferts de données personnelles effectués par un opérateur économique établi en Europe (ici Facebook en Irlande) vers un autre opérateur économique établi dans un pays tiers (Facebook Inc aux États-Unis), lorsque ces informations « sont susceptibles d’être traitées par les autorités de ce pays tiers à des fins de sécurité publique, de défense et de sûreté de l’État ».
Dans son analyse, la CJUE va déconstruire ces différentes étapes. Un transfert est juridiquement un traitement, notion très largement définie par le règlement. Et les données ici en jeu sont bien « personnelles ».
Sans mal, elle en déduit la pleine application du RGPD. Ce n’est pas parce que des données transférées à des fins commerciales entre Facebook Irlande et Facebook Inc. sont susceptibles d’être alpaguées par les services du renseignement américain que le règlement ne s’applique pas. Le texte du 25 mai est donc bien en vigueur à leur égard. Logique implacable.
La question des clauses contractuelles types
Autre problématique à percer : quel est le niveau de protection à prendre en considération lorsque des données sont transférées sur les clauses contractuelles types ? Facebook utilise en effet ce véhicule pour drainer les milliards de données d’Europe vers les États-Unis.
Le doigt sur chaque ligne du RGPD, la Cour retient qu’un pays tiers à l’Europe doit assurer « un niveau de protection des libertés et des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu dudit règlement, lu à la lumière de la Charte ».
Même s’il n’y pas de décision d’adéquation prise par la Commission européenne, l’entité concernée par ces échanges – le responsable de traitement ou le sous-traitant – doit « compenser l’insuffisance de la protection des données dans le pays tiers » pour « assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union ». Au besoin en ajoutant des dispositions solides dans ses conditions générales.
Et pour évaluer ce niveau requis, la Cour indique qu’il faut prendre en considération le contrat en vigueur, mais aussi l’ « éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel transférées » outre « les éléments pertinents du système juridique de celui-ci ». En somme, le responsable de traitement doit se livrer à une étude approfondie pour déterminer s’il peut envoyer son pétrole numérique ici plutôt que là, avec toute l’incertitude juridique qui pèse sur une mauvaise décision.
Ceci posé, la question des conséquences débouche inévitablement. Est-ce qu’une autorité de contrôle, ici le Commissaire irlandais, est tenu de suspendre les transferts de données fondés sur les clauses types de protection adoptées par la Commission, quand cette autorité constate qu’elles « ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union (…) ne peut pas être assurée, ou en ce sens que l’exercice de ces pouvoirs est limité à des hypothèses exceptionnelles » ?
Oui, répond la Cour, en nuançant. La situation diffère en effet lorsque le pays de destination bénéficie d’une décision d’adéquation. C’est effectivement le cas ici avec le Privacy Shield dont profitent les États-Unis. Cette fois, tant que cette décision n’a pas elle-même été déclarée invalide, elle s’impose aux États membres et à leurs autorités de contrôle. En conséquence, conclut la CJUE, ceux-ci « ne sauraient adopter des mesures contraires à cette décision, telles que des actes visant (…) à suspendre ou interdire des transferts de données à caractère personnel vers ce pays tiers ».
Mais… la décision d’adéquation n’est pas un écran de béton. Un particulier doit toujours pouvoir saisir une autorité de contrôle et celle-ci introduire un recours devant les autorités nationales et au-delà devant la CJUE si tous doutent de la validité de l’acte européen.
Validation de la décision relative aux clauses contractuelles types de 2010
La Cour a évidemment appelé à mettre son nez dans la décision de 2010, prise par la Commission. C’est elle qui sert de fondement aux clauses contractuelles types (CCT), d’ailleurs énumérées dans ses annexes .
Ces clauses lient les parties afin d’assurer un haut niveau de protection dans les flux de données. Cependant elles ne lient pas les autorités nationales, comme la NSA. Cette lacune est-elle suffisamment importante pour faire tomber cet édifice ? La Cour de justice de l’Union européenne répète que non, d’autant que les CCT doivent être utilement complétées par les parties au contrat lorsque le climat national place les données à risque.
Dans la poursuite de son analyse, elle détaille les lignes du texte de 2010. Ainsi il est nécessaire de disposer de « mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer ».
Dans le même fil, une société installée dans un pays tiers doit informer dans les meilleurs délais le responsable de traitement lorsqu’elle se retrouve dans l’incapacité de se conformer aux obligations du contrat, par exemple si la législation nationale subit des tours de vis sécuritaire. Ce responsable de traitement doit au besoin suspendre ces flux, là encore lorsque les droits et obligations nées du RGPD ne peuvent plus être assurés.
Après avoir détaillé l’ensemble des garanties prévues par la décision de 2010, la CJUE estime qu’il n’y a pas lieu de remettre en cause sa validité.
Son long panorama (aux paragraphes 122 à 149 de l’arrêt) est avant tout un rappel très important à l’égard des responsables de traitement et de leurs sous-traitants. S’ils optent pour les clauses contractuelles types pour adresser des camions de données vers des pays tiers à l’Union européenne, ce choix ne leur permettra jamais de se serpenter autour des contraintes « RGPDiennes ». Il exigera toujours rigueur et exemplarité sous l’œil de la justice européenne.
L’invalidation du Privacy Shield
Vient ensuite le cœur de l’arrêt : celui concernant « la décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis », à savoir le Privacy Shield.
Selon le document adoubé par la Commission européenne, « les États-Unis assurent un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies aux États-Unis dans le cadre du bouclier de protection des données ».
Comme déjà souligné, ce label s’impose aux États membres et à leurs autorités de contrôle, le Commissaire en Irlande, ou la CNIL en France par exemple. Aucune de ces dernières ne peut suspendre ou interdire un transfert de données par exemple entre Facebook Irlande et Facebook inc. Mais rien n’interdit à un particulier d’adresser une réclamation, et en bout de course à la CJUE de déterminer sur la décision d’adéquation, le Privacy Shield, est conforme au RGPD lu sous la lorgnette de la Charte des droits fondamentaux.
Ce qu’a fait la Cour de justice de l’Union européenne dans son arrêt Schrems 2.
La CJUE n’a eu aucune difficulté à déceler de nouveaux bugs originels, à l’instar de ceux qu’elle avait constatés dans sa décision invalidant le Safe Harbor. Et pour cause. La décision sur le bouclier de protection des données rend « possibles des ingérences fondées sur des exigences relatives à la sécurité nationale et à l’intérêt public ou sur la législation interne des États-Unis dans les droits fondamentaux des personnes dont les données à caractère personnel sont ou pourraient être transférées depuis l’Union vers les États-Unis ».
Le texte prévoit en effet une exception liée aux « exigences relatives à la sécurité nationale, [à] l’intérêt public et [au] respect de la législation » américaine, certes limitée au « strictement nécessaire ». En somme une primauté de la NSA, de la CIA et autres agences nationales sur les droits fondamentaux des Européens. « Plus particulièrement (…) de telles ingérences peuvent résulter de l’accès aux données à caractère personnel transférées depuis l’Union vers les États-Unis et de l’utilisation de ces données par les autorités publiques américaines, dans le cadre des programmes de surveillance Prism et UpStream fondés sur l’article 702 du FISA, ainsi que sur le fondement de l’E.O. 12333 ».
En amont de la CJUE, la haute cour irlandaise a considéré « que le droit de ce pays tiers ne prévoit pas les limitations et les garanties nécessaires à l’égard des ingérences autorisées par sa réglementation nationale et n’assure pas non plus une protection juridictionnelle effective contre de telles ingérences ». Elle ajoute que le médiateur, instauré par le Privacy Shield ne constitue pas davantage un tribunal, faute de garantie d’indépendance suffisante.
La Cour a encore une fois rappelé les principes en vigueur. Des ingérences par les autorités peuvent être envisagées mais ces limitations à l’exercice des droits et des libertés reconnus doivent être prévues par la loi et respecter le contenu essentiel desdits droits et libertés. Elles doivent aussi obéir à un principe de proportionnalité et donc être « nécessaires » et répondre effectivement à des « objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et des libertés d’autrui ». En sommes, des coups de canifs peuvent être apportés aux droits fondamentaux des Européens, mais en étant limités, prévus, encadrés strictement.
Le Privacy Shield, victime des programmes de surveillance américains
Voilà pour la théorie. Restait à la confronter aux programmes de surveillance américains, fondés sur l’article 702 du Foreign Intelligence Surveillance Act (FISA) et de l’executive ordrer 12333.
Outre-Atlantique, les textes prévoient bien l’intervention du tribunal de la surveillance du renseignement extérieur (ou FISC, pour Foreign Intelligence Surveillance Court), toutefois elle se limite à « vérifier si ces programmes de surveillance correspondent à l’objectif d’obtenir des informations en matière de renseignement extérieur », pas à savoir « si les personnes sont correctement ciblées pour se procurer des informations en matière de renseignement extérieur ».
Ces dispositifs concoctés par le procureur général et le directeur du renseignement national ne ciblent en effet pas une personne déterminée, mais orchestrent bien un programme de surveillance extérieure.
Pas de limitations ciselées, pas de garanties pour les personnes non américaines potentiellement visées, ni même de droits opposables devant les tribunaux. Le Privacy Shield, si chèrement défendu par la Commission européenne, n’est donc « pas susceptible d’assurer un niveau de protection substantiellement équivalent à celui résultant de la Charte », contrairement à ce qu’exige le RGPD.
La Commission ne peut feindre la surprise. Les documents annexés au Privacy Schield indiquent par exemple que la directive stratégique présidentielle n°28 (Presidential Policy directive 28, ou PPD-28), sur laquelle se fondent les programmes de surveillance, permet de procéder à une « collecte “en vrac” [...] d’un volume relativement important d’informations ou de données issues du renseignement d’origine électromagnétique dans des conditions où les services de renseignement ne peuvent pas utiliser d’identifiant associé à une cible spécifique [...] pour orienter la collecte ».
Pour la Cour, « cette possibilité, qui permet, dans le cadre des programmes de surveillance fondés sur l’E.O. 12333, d’accéder à des données en transit vers les États-Unis sans que cet accès fasse l’objet d’une quelconque surveillance judiciaire, n’encadre, en tout état de cause, pas de manière suffisamment claire et précise la portée d’une telle collecte en vrac de données à caractère personnel ».
L’article 702 du FISA et l’E.O. 12333 « ne correspondent [pas] aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité, si bien qu’il n’est pas permis de considérer que les programmes de surveillance fondés sur ces dispositions sont limités au strict nécessaire ».
S’agissant du droit au recours, la Commission européenne avait bien constaté des trous dans la raquette, mais s’était satisfaite de l’institution d’un médiateur pour traiter des questions soulevées par les utilisateurs notamment.
L’avis a été autre à Luxembourg. Pour la CJUE, ce dispositif est loin d’assurer une protection équivalente à un vrai recours juridictionnel. Le médiateur doit par exemple rendre des comptes directement au gouvernement américain. De même le Privacy Shield et ses annexes ne comportent aucune indication laissant entendre qu’il « serait habilité à prendre des décisions contraignantes à l’égard de ces services et ne fait pas non plus état de garanties légales dont serait assorti cet engagement et dont pourraient se prévaloir les personnes concernées ».
Ces vices frappant le cœur du texte, par contagion celui-ci ne passe pas le test de conformité au RGPD et à la Charte. Voilà pourquoi la Cour de justice de l’Union européenne n’a pas eu d’autres choix que d’annuler l’ensemble de la décision d’adéquation. Un nouveau big bang dans le ciel européen.
Quelles sont les conséquences d’une telle décision ?
Déjà, sur le terrain politique, c’est une nouvelle gifle assénée à la Commission européenne, après l'arrêt Schrems 1. Mais c’est surtout sur le terrain juridique que les choses se corsent : les entreprises vont devoir s’appuyer sur un autre socle pour justifier ces transferts.
Le RGPD prévoit bien l’hypothèse d’une absence de décision d’adéquation en son article 49. Des transferts ponctuels restent alors autorisés, mais seulement dans certaines conditions très particulières.
Par exemple, lorsque la personne physique « a donné son consentement explicite », « après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l'absence de décision d'adéquation et de garanties appropriées », ou encore parce que le transfert « est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ».
Toutefois, cette voie n’est qu’un régime dérogatoire, exceptionnel, ne s’appliquant pas nécessairement aux transferts beaucoup plus habituels, comme les connaissent si bien Facebook Irlande et Facebook inc.
Les entreprises peuvent aussi s’appuyer sur les clauses contractuelles types, validées par la Commission européenne et la CJUE, mais elles devront bien s’assurer que le niveau de protection en vigueur dans le pays de destination est équivalent à celui en Europe. Une problématique lourde puisque la Cour a justement souligné que les programmes de surveillance américains, dont l’amplitude et les effets avaient échappé à la Commission européenne elle-même, sont de véritables gloutons à données personnelles.
Dit autrement, comment une entreprise privée saura-t-elle mieux évaluer ce que l’exécutif bruxellois n’a pas correctement jaugé ? « Prenons, par exemple, une entreprise européenne faisant des affaires avec la Russie ou l'Inde, commente en ce sens le professeur de droit Théodore Christakis. Serait-il possible, pour une telle entreprise, de déclarer demain qu'elle ne transférera plus de données personnelles vers ces pays parce que les lois russes ou indiennes n'offrent pas une protection suffisante des droits de l'homme ? Quelles seraient les conséquences économiques et autres (y compris les représailles des États concernés) d'une telle déclaration pour cette société ? »
Mieux, les autorités de contrôle, comme la CNIL en France, se voient astreintes d’exiger la suspension si ce n’est l’arrêt des transferts lorsque ce niveau de protection requis n’atteint pas les standards européens, au besoin par des contrats aiguisés.
Dans un premier communiqué, le Comité européen de la protection des données (EDPB en anglais, pour European Data Protection Board) insiste en ce sens : « lorsque ces obligations contractuelles ne sont pas ou ne peuvent être respectées, l'exportateur est tenu (…) de suspendre le transfert ou de résilier les clauses ou de notifier à son autorité de contrôle compétente s'il a l'intention de poursuivre le transfert de données ».
Du côté du commerce extérieur, c’est évidemment la soupe à la grimace. Wilbur Ross, secrétaire américain, se dit profondément déçu. On comprend en lisant la remarque du professeur de droit Theodore Christakis : « plus de 5 300 entreprises utilisant le bouclier de protection des données devraient prendre des mesures pour passer à une autre base juridique pour les transferts de données vers les États-Unis ».
Pour l’avenir, les autorités vont surtout devoir trouver un nouvel accord, accompagné des correctifs nécessaires. « Lorsqu'on lit attentivement l'arrêt, souligne encore l’enseignant de l’Université de Grenoble, il ne devrait pas être impossible de traiter les principales objections de la Cour. En effet, Schrems 2 ne semble pas remettre en cause les pouvoirs de surveillance américains en tant que tels, mais plutôt le manque de garanties et de recours nécessaires en relation avec ces pouvoirs ».
En attendant, la Cour a bel et bien poursuivi dans son arrêt les objectifs attendus du RGPD : étendre les standards européens de la protection des données personnelles à l’ensemble des pays traitant des informations de ses résidents. Que ce soit par les clauses contractuelles types, les régimes dérogatoires ou les décisions d’adéquation, aucune brèche ne peut être admise dans ses valeurs puisées dans la Charte. Aux autorités de contrôle nationales et aux responsables de traitement d’en assurer maintenant le colmatage.
