Présentation de l’arrêt « Schrems II » de la CJUE

Dans son arrêt dit « Schrems II », la Cour de Justice de l'Union européenne (CJUE) s’est prononcée sur deux points :

• La validité des clauses contractuelles types (CCT) de la Commission européenne et sur leur utilisation en cas de transfert de données à caractère personnel vers un pays tiers

La CJUE a consacré la validité de ces clauses, tout en indiquant que, pour les utiliser, il appartient au responsable de traitement, le cas échéant en collaboration avec le destinataire des données transférées, d’évaluer si, en pratique et pour le transfert envisagé, ces CCT permettent d’assurer aux données transférées un niveau de protection essentiellement équivalent à celui assuré en Union européenne. Si l’effet de ces clauses est limité ou totalement écarté par la législation du pays tiers applicable aux transferts de ces données, le responsable de traitement doit mettre en place des mesures supplémentaires pour assurer le niveau de protection des données requis ou notifier l’autorité de protection des données compétente son intention de continuer à transférer des données sans ces garanties.

• La validité de la décision d’adéquation à l’égard des États-Unis (Privacy Shield)

La CJUE a analysé la législation américaine en matière d’accès aux données des fournisseurs de services Internet et entreprises de télécommunications par les services de renseignement américains (Section 702 FISA et Executive Order 12 333). Elle en a conclu que les atteintes portées à la vie privée des personnes dont les données sont traitées par les entreprises et opérateurs états-uniens soumis à cette législation sont disproportionnées au regard des exigences de la Charte des Droits Fondamentaux. En particulier, la Cour a jugé que la collecte des données par les services de renseignement n’est pas proportionnée et que les voies de recours, y compris juridictionnelles, dont disposent les personnes à l’égard du traitement de leurs données sont insuffisantes. La CJUE a dès lors invalidé cette décision d’adéquation de la Commission européenne.

Oui, l’arrêt de la CJUE emporte des conséquences sur tous les outils d’encadrement des transferts à destination des États-Unis.

En effet, c’est la législation états-unienne en matière de surveillance (Section 702 FISA et Executive Order 12 333) qui est en cause dans cette décision et celle-ci a donc vocation à s’appliquer à tous les transferts de données adressées à ou transitant par des fournisseurs de services Internet et entreprises de télécommunications soumis à cette législation.

En ce qui concerne les règles d'entreprise contraignantes (BCR) par exemple, la situation est similaire à celle du recours aux clauses contractuelles type : la légalité des règles d’entreprise contraignantes n’est pas mise en cause par la décision de la Cour, mais le recours à cet outil pour transférer des données à caractère personnel vers les États-Unis, dans lequel la législation a pour effet de diminuer ou d’écarter la mise en œuvre des protections fournies par ces règles, est conditionné à la mise en œuvre de mesures complémentaires. Le même raisonnement doit être suivi pour les autres outils d’encadrement des transferts à destination des Etats-Unis (autres clauses contractuelles, codes de conduite, etc.).

Tous les transferts de données personnelles vers les États-Unis sont concernés par cette décision.

En effet, la législation états-unienne mise en cause par la Cour de justice de l’Union européenne (Section 702 FISA et Executive Order 12 333) s’applique à tous les fournisseurs de services Internet et entreprises de télécommunications établis aux États-Unis. Ainsi, l’accès, par les services de renseignements américains, aux données traitées par ces opérateurs peut intervenir une fois les données transférées et stockées aux États-Unis mais également durant leur transit vers ce territoire, quand bien même le destinataire des données n’est pas lui-même soumis à la législation en cause.

En outre, cette décision impacte tous les transferts de données personnelles, quelle que soit leur nature (transfert « physique », accès à distance, etc.) et la qualité des organismes concernés (responsable du traitement ou sous-traitant).

Non.

La décision de la CJUE n’a pas pour effet d’interdire de manière générale tous les transferts de données personnelles vers les États-Unis d’Amérique.

Pour procéder à de tels transferts, la décision de la CJUE implique en revanche de mener une analyse spécifique et de respecter de nouvelles conditions.

Outre l’encadrement de ces transferts (clauses contractuelles, BCR, etc.), des mesures supplémentaires doivent être mises en œuvre par l’exportateur de données afin d’empêcher tout accès par les autorités américaines de renseignement, lorsqu’elles sont stockées sur le territoire états-unien comme lors de leur transit à destination des États-Unis, ou de rendre les données inutilisables en cas d’accès.

Enfin, à titre exceptionnel, les transferts se fondant sur les dérogations prévues par le RGPD peuvent également se poursuivre à destination des États-Unis.

L’arrêt de la CJUE est directement applicable : il n’y a aucune période de grâce et les conséquences doivent être tirées immédiatement par tous les exportateurs de données personnelles vers les États-Unis.

En effet, la CJUE a invalidé la décision sur le Privacy Shield sans en maintenir les effets. Les transferts vers les États-Unis fondés sur le recours aux clauses contractuelles types de la Commission européenne doivent être immédiatement encadrés de mesures complémentaires afin d’assurer une protection suffisante des droits fondamentaux des européens dont les données sont transférées.

Oui.

L’arrêt de la CJUE ne concerne pas uniquement les États-Unis (invalidation du Privacy Shield) mais également le recours aux clauses contractuelles type. Par extension, il doit être pris en compte pour les autres outils d’encadrement des transferts.

Il faut donc tirer les mêmes conséquences que la CJUE pour les transferts vers des pays tiers encadrés par des outils spécifiques (CCT, BCR, etc.) : si ces États ont des législations non compatibles avec les exigences européennes qui s’appliquent aux données transférées et aboutissent à diminuer ou à écarter les protections que fournissent ces outils, il convient de mettre en œuvre des mesures supplémentaires.

Il y a lieu d’appliquer les mêmes exigences que celles fixées par la CJUE sur le cas particulier des États-Unis pour déterminer les « garanties appropriées » (article 46 du RGPD) qui doivent encadrer les transferts de données vers tout pays tiers. Seules les dérogations pour des situations particulières et les décisions d’adéquation ne sont pas impactées par la décision de la Cour.

Non.

Seule la décision « Privacy Shield » est annulée et seule la Cour de justice de l’Union européenne est compétente pour écarter l’application d’une décision d’adéquation de la Commission européenne.

Les autorités de protection des données et les juridictions nationales n’ont pas le pouvoir d’écarter l’application d’une décision d’adéquation et doivent saisir la CJUE en cas de doute.

Pour les transferts de données personnelles vers des États assurant un niveau de protection adéquat, la situation est donc inchangée. À noter néanmoins que toutes les décisions d’adéquation adoptées sous l’empire de la Directive 95/46 font actuellement l’objet d’une évaluation par la Commission européenne à l’aune des critères du RGPD et de la CJUE.

Non.

La décision de la CJUE n’affecte pas le recours ponctuel aux dérogations prévues par l’article 49 du RGPD, contrairement au recours aux autres outils d’encadrement des transferts, pour les transferts à destination des États-Unis comme de tout autre pays tiers.

Attention cependant, ces dérogations sont soumises à des conditions particulières, d’interprétation stricte, détaillées à l’article 49 du RGPD.

Le CEPD rappelle ici ces conditions.