Transfert de données personnelles de l’Europe vers les US : la CJUE annule le Privacy shield !

Le transfert de données de particuliers européens vers les États-Unis, sont, entre autres, encadrés par des décisions de la Commission sur les conditions de ces transferts. Le Safe Harbor était un label reconnu en Europe, délivré par les Etats-Unis aux entreprises respectant des principes censés satisfaire aux exigences du droit européen. Il est annulé par la Cour de justice en 2015. Le Privacy Shield est une décision de substitution, de la Commission, visant aux mêmes fins. Le 16 juillet 2020, la Cour l’annule à son tour. 

En l’an 2015, le 6 octobre, la Cour de Justice de l’Union européenne annulait la décision de la Commission européenne dit Safe harbor encadrant les transferts de données de particuliers européens aux Etats-Unis en relevant que « une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée ».  En 2020, le 16 juillet, cette même Cour annule la décision de la Commission dite Privacy Shield relevant que le droit américain ne répond pas « à des exigences substantiellement équivalentes à celles requises en droit de l’Union ». 

Explication

Le Règlement général sur la protection des données (RGPD) autorise les transferts de données hors de l’Union européenne (UE) et de l’Espace Economique Européen (EEE) sous réserve d’un niveau de protection des données suffisant et approprié. 

Le Privacy shield permettait, depuis son entrée en vigueur le 1er août 2016, le transfert de données personnelles entre l’Union européenne et les Etats-Unis et avait été reconnu par la Commission européenne.

Toutefois, dans son arrêt du 16 juillet 2020, la CJUE invalide la décision 2016/1250 instaurant le Privacy shield.

Raisons de la nullité

Les juges européens justifient leur décision par la mise en place de dispositifs légaux, aux Etats-Unis, trop intrusifs offrant la possibilité aux services de renseignement et aux autorités d’accéder aux données traitées par les entreprises américaines. Et cela comprends donc les données des particuliers européens dès lors qu’ils utilisent un service numérique qui est lié aux Etats-Unis (du fait de la nationalité de l’entreprise et/ou de la localisation des serveurs).

Plus particulièrement, la Cour considère que ces dispositifs « ne correspondent pas aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité, si bien qu’il n’est pas permis de considérer que les programmes de surveillance fondés sur ces dispositions sont limités au strict nécessaire ».

Limites de la décision

La Cour rappelle cependant la validité des clauses types de la Commission européenne couvrant le transfert des données à caractère personnel vers des sous-traitants établis dans des pays tiers, pour se conformer au droit européen.

La conformité du traitement des données, et donc du transfert, aux exigences légales européennes peut effectivement être assurée au cas d’espèce par des clauses types, dont le contenu est standardisé ; c’est une méthode recommandée par la Commission européenne.

Ces clauses sont mises à disposition par les autorités nationales en charge de la protection des données personnelles, la CNIL en France.

La Commission offre néanmoins des lignes directrices afin d’éviter un kaléidoscope de clauses nationales, au détriment d’un cadre général coordonnée européen.

Effets de la décision

En validant les clauses types, la décision de la Cour de justice est d’un effet très mesuré sur le fonctionnement des services numériques offerts par les grandes multinationales du numérique. Celles-ci pourront continuer à stocker des données de citoyens européens aux Etats-Unis, avec les conséquences que cela entraine, dès lors qu’elles ont recours aux clauses (ou aux règles internes d’entreprises dans le cas de transfert de données effectué entre filiales).

En revanche, il leur est désormais impossible de trouver un moyen de s’abriter derrière le bouclier d’une présomption de légalité du transfert en application du Privacy Shield. Il leur faut nécessairement organiser cette légalité au moyen de clauses. Concrètement, c’est déjà la façon dont elles s’organisent.

Reste que la décision de la Cour de Justice, en réaffirmant la spécificité européenne des exigences de protection des données personnelles entraîne une affirmation politique forte du soft power de l’Union et réaffirme la vigueur d’un standard protecteur des individus au sein de l’économie numérique.

Des premiers commentaires

La CNIL vient de publier sa première réaction à ce jugement et les conséquences en découlant.

Nous suivrons bien entendu les suites de l’affaire …

Hervé Gabadou

Avocat Associé, Hervé dirige l’activité juridique, Digital & Innovation, du cabinet d’avocats Deloitte Legal. Il accompagne différents acteurs du secteur privé et public dans leurs projets de transformation numérique faisant […]

Guillaume Flambard

Avocat, Directeur, Guillaume Flambard est spécialisé en droit des nouvelles technologies, de l’informatique et de la communication (certificat de spécialisation délivré par le Conseil National des Barreaux). Il accompagne les […]

Farah Agrebi

Farah est avocat au barreau des Hauts de Seine et a rejoint le cabinet Deloitte Société d’Avocats en 2019. Elle intervient sur des problématiques relatives au droit de l’informatique ainsi […]