Transfert de données personnelles entre l’Europe et les Etats-Unis : la CJUE invalide le « Privacy Shield » !
Corinne Thiérache et Carole Bui
Après avoir fait annuler par la Cour de Justice de l’Union européenne (CJUE) en 2015 l’accord du « Safe Habor » qui régissait les transferts de données personnelles entre les Etats-Unis et l’Europe, l’autrichien Maximilian Schrems remporte une nouvelle victoire dans le litige l’opposant à Facebook Ireland Ltd. en obtenant de la Cour l’invalidation de l’accord du « Privacy Shield » qui lui avait succédé en 2016. En revanche, la Cour valide le recours à des clauses contractuelles type pour le transfert des données personnelles vers des sous-traitants établis dans des pays tiers, tout en reconnaissant que « lesdites clauses sont dépourvues de caractère contraignant à l’égard des autorités étatiques du pays tiers concerné et, partant, ne sont pas de nature à remédier à une éventuelle absence de niveau de protection adéquat dans ce pays ».
Ainsi, dans sa décision du 16 juillet 2020 dont la réelle portée est encore difficilement mesurable, la CJUE rappelle que le RGPD reste applicable à « un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un Etat membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État ».
La Cour précise que l’évaluation du niveau de protection dans le cadre d’un transfert de données personnelles doit prendre en compte tant les stipulations contractuelles convenues entre l’exportateur des données établi dans l’Union européenne et le destinataire du transfert établi dans le pays tiers concerné que les éléments pertinents du système juridique de ce pays tiers, en ce qui concerne un éventuel accès des autorités publiques aux données ainsi transférées.
La CJUE renvoie les autorités de contrôle européennes à leur obligation de suspendre ou d’interdire un transfert de données personnelles vers un pays tiers lorsqu’elles estiment, au regard des circonstances propres à ce transfert, que les clauses types de protection des données ne sont pas ou ne peuvent pas être respectées dans ce pays et que la protection des données transférées, requise par le RGPD, ne peut pas être assurée par d’autres moyens, à défaut pour l’exportateur établi dans l’Union d’avoir lui-même suspendu ou mis fin à un tel transfert.
En l’occurrence, la Cour considère que les lois américaines ne garantissent pas aux citoyens européens une protection équivalente au RGPD, remettant ainsi en cause le cadre actuel des transferts de données personnelles entre l’Europe et les Etats-Unis.
Il s’agit donc d’une message fort de la part de la Cour de Justice, poussant clairement les autorités américaines à repenser leurs lois sur la surveillance des communications électroniques si elles veulent préserver la place des entreprises américaines sur le marché européen. Ceci est une nouvelle illustration de l’enjeu de géopolitique que représente désormais la protection des données personnelles entre les Etats-Unis et l’Europe.
A la suite de la décision de la CJUE, il devient donc essentiel pour les opérateurs économiques européens utilisant des services de prestataires américains de procéder à un audit de la situation afin de mesure leur éventuelle exposition à des risques de conformité au RGPD.
Les avocats d’Alerion du Département Protection des données personnelles peuvent assister leurs clients pour mieux appréhender l’impact de cette décision sur les traitements et fichiers d’ores et déjà effectués.
Corinne Thiérache, Associée et Carole Bui, Avocats au Barreau de Paris