Par un arrêt du 16 juillet 2020 ( C‑311/18 – Schrem 2), la Cour de Justice de l’Union Européenne (CJUE) valide la décision de la Commission Européenne sur la relatives aux clauses contractuelles types (CCT) mais invalide celle relative au Privacy Shield.
Cette décision est préoccupante dans la mesure où c’est la deuxième fois que la Commission ne parvient pas à négocier un mécanisme de transfert avec les États-Unis qui réponde aux standards européens en matière de protection des données.
En outre, l’arrêt jette un doute sur la légalité des transferts de données vers les États-Unis, quels que soient les mécanismes de transfert sur lequel les organisations s’appuient (par exemple, BCR, CTT, etc.).
En effet, la Cour ne valide les CCT que du fait qu’elles prévoient des mécanismes efficaces permettant la suspension ou l’interdiction du transfert de données à caractère personnel vers un pays tiers dont la législation/le système juridique rendrait impossible leur respect par les parties.
Étant donné que la Cour considère que les lois américaines en matière de surveillance interfèrent de manière disproportionnée avec les droits de l’homme des citoyens de l’UE et ne prévoient pas de recours efficace, les transferts de données vers les États-Unis devraient, par conséquent, être suspendus ou interdits jusqu’à ce que les autorités trouvent une solution aux questions soulevées par la Cour.
A cet effet, le CEPD a déclaré travaillé sur des recommandations afin de répondre au problématiques soulevées par cet arrêt.
1. Contexte
1.1. Procédures
Suite à l’arrêt de la CJUE du 6 octobre 2015, Schrems (C-362/14, UE:C:2015:650) par lequel la Cour a invalidé le Safe Harbor (ancienne version du Privacy Shield), Facebook Ireland a expliqué qu’une grande partie des données personnelles a été transférée à Facebook Inc. sur la base des CTT.
Sur cette base, M. Schrems a déposé une plainte reformulée auprès de l’autorité irlandaise le 1er décembre 2015, dans laquelle il affirme que la loi américaine oblige Facebook Inc. à mettre ses données personnelles à la disposition de certaines autorités américaines, telles que la National Security Agency (NSA) et le Federal Bureau of Investigation (FBI).
Considérant que la pratique de la NSA et du FBI n’était pas compatible avec la Charte, M. Schrems a demandé au commissaire d’interdire ou de suspendre le transfert de ses données personnelles vers Facebook Inc.
Le 24 mai 2016, l’autorité irlandaise a publié un « projet de décision » indiquant que :
- les autorités américaines ont probablement consulté et traité les données à caractère personnel transférées aux États-Unis d’une manière incompatible avec les articles 7 et 8 de la Charte ;
- la législation américaine n’offrait pas aux citoyens de l’UE de recours juridiques compatibles avec l’article 47 de la Charte.
Le commissaire a estimé que les CTT ne remédient pas à ce défaut, puisqu’elles ne confèrent aux personnes concernées que des droits contractuels à l’encontre de l’exportateur et de l’importateur de données, sans lier les autorités américaines.
Sur la base de ces conclusions, le Commissaire a introduit un recours devant la Haute Cour irlandaise, qui a saisi la Cour de justice de l’Union européenne d’une question à ce sujet le 4 mai 2018.
1.2. Le régime légal des activités de renseignements américains
Selon les constatations de la Commission et de la Haute Cour irlandaise, les activités de renseignement des autorités américaines concernant les données personnelles transférées aux États-Unis sont basées sur la section 702 de la FISA et sur le décret 12333.
Un large champ de surveillance
En vertu de la section 702 de la FISA, le procureur général et le directeur du renseignement national peuvent autoriser conjointement, après approbation du FISC, la surveillance de citoyens non américains se trouvant en dehors des États-Unis pour obtenir des « informations de renseignement étranger », et constitue une base pour les programmes de surveillance PRISM et UPSTREAM :
- dans le cadre du programme PRISM, les fournisseurs de services Internet fournissent à la NSA toutes les communications à destination et en provenance d’un « sélecteur ». Certaines de ces communications peuvent être transmises au FBI et à la Central Intelligence Agency (CIA) ;
- dans le cadre du programme UPSTREAM, la NSA peut copier et filtrer les flux de trafic Internet provenant de réseaux de câbles, de commutateurs et de routeurs, afin d’acquérir des communications en provenance, à destination ou à propos d’un ressortissant non américain associé à un « sélecteur ». Dans le cadre de ce programme, la NSA a accès à la fois aux métadonnées et au contenu des communications concernées.
En vertu du décret E.O. 12333, la NSA a accès aux données « en transit » vers les États-Unis, collectées directement à partir de câbles sous-marins sur le fond de l’Atlantique avant d’arriver aux États-Unis, et qui y sont soumises à la FISA. Ces activités ne sont pas régies par la loi.
La PPD-28, une disposition légale applicable à ces activités de surveillance, stipule simplement que les activités de renseignement doivent être aussi adaptées que possible.
Protection judiciaire limitée des citoyens de l’UE
Les citoyens de l’UE n’ont pas les mêmes recours que les citoyens américains du fait que le quatrième amendement de la Constitution des États-Unis, qui est la principale base légale disponible pour contester la surveillance illégale par les autorités publiques, ne s’applique pas aux citoyens de l’UE.
En outre, les causes d’action ouvertes aux citoyens de l’UE se heurtent à des obstacles importants, et les activités de la NSA basées sur le décret E.O. 12333 ne sont pas soumises à un contrôle judiciaire et ne sont pas justiciables.
2. La CJUE déclare que la décision sur la Privacy Shield n’est pas valide mais confirme la décision sur les CCT
2.1. Pourquoi la Cour a-t-elle statué sur le Privacy Shield ?
La plainte de M. Schrems ne portait que sur la validité des CTT et, par conséquent, la Cour n’était pas tenue de se prononcer sur la validité de la décision relative au Privacy Shield.
Toutefois, parmi les questions soumises à la CJUE, la Haute Juridiction irlandaise a demandé :
- si le transfert de données à caractère personnel fondé sur les CTT viole les droits inscrits dans la Charte;
- si l’introduction du médiateur mentionné dans la décision relative au Privacy Shield est compatible avec la Charte.
Ces questions mettant en cause les conclusions de la Commission et la validité de sa décision concernant le Privacy Shield, la Cour a décidé, malgré l’avis contraire de l’avocat général, de se prononcer sur la validité du Privacy Shield.
2.2. La CJUE invalide le Privacy Shield pour défaut de garanties et de recours effectifs
Les programmes de surveillance américains sont disproportionnés
Sur la base des conclusions de la juridiction de renvoi, la CJUE estime que ni l’article 702 de la FISA, ni le Décret E.O. 12333, lu conjointement avec le DPP-28, ne fournissent les garanties minimales résultant du principe de proportionnalité, car les programmes de surveillance fondés sur ces dispositions ne sont pas limités à ce qui est strictement nécessaire.
La législation américaine ne prévoit pas de recours efficace
La CJUE a estimé que ces programmes de surveillance n’accordent pas aux personnes concernées des droits susceptibles d’être invoqués devant les tribunaux contre les autorités américaines.
Tout en reconnaissant que les personnes concernées de l’UE disposent de plusieurs voies de recours en vertu du droit américain, elle constate que certaines bases juridiques sur lesquelles repose un programme de surveillance (par exemple, le décret 12333) ne sont pas couvertes.
Elle considère donc que les personnes concernées n’ont pas droit à un recours effectif en vertu de la législation américaine.
La décision « Privacy Shield » ne prévoit pas non plus de recours effectif
Le Privacy Shield prévoit un mécanisme via un médiateur, qui est un « coordinateur principal pour la diplomatie internationale en matière de technologies de l’information ».
Toutefois, la CJEU a estimé que l’indépendance du médiateur n’était pas assurée dans la mesure où il est nommé par le secrétaire d’État et relève directement de ce dernier, et fait partie intégrante du département d’État américain.
En outre, rien dans la décision Privacy Shield n’indique que le médiateur a le pouvoir d’adopter des décisions qui sont contraignantes pour les services de renseignement américains et ne mentionne aucune garantie juridique sur laquelle les personnes concernées pourraient s’appuyer.
Par conséquent, le mécanisme du médiateur n’offre aucun recours devant un organe offrant des garanties essentiellement équivalentes à celles requises par l’article 47 de la Charte.
2.3. La CJUE confirme la validité de la décision relative aux CTT parce qu’elle prévoit un mécanisme efficace pour suspendre les transferts de données si la loi d’un pays tiers contredit les dispositions des clauses
Pour la CJUE, il appartient au responsable du traitement ou au sous-traitant établi dans l’Union européenne de vérifier, au cas par cas, si la législation du pays tiers assure une protection adéquate des données à caractère personnel transférées sur la base des CCT, en prévoyant, le cas échéant, des garanties supplémentaires à celles offertes par ces clauses.
En conséquence, lorsque le responsable du traitement ou un sous-traitant ne peut prendre des mesures supplémentaires adéquates pour garantir cette protection, le responsable du traitement ou le sous-traitant ou, à défaut, l’autorité de contrôle compétente doit suspendre ou mettre fin au transfert de données à caractère personnel vers le pays tiers concerné.
Comme la clause 5(b) des CTT et l’article 58(2) du RGPD prévoient un tel mécanisme lorsque le destinataire des données ne peut pas se conformer aux CTT, la juridiction européenne a jugé que la décision des CTT prévoit des mécanismes efficaces pour suspendre ou interdire le transfert et a donc confirmé sa validité n’était donc pas remise en cause.
3. La CJUE a-t-elle interdit les transferts de données vers les États-Unis et tout pays tiers ayant des lois de surveillance similaires ?
Compte tenu de la position de la CJUE, nous comprenons que les organisations qui s’appuient sur les CTT ou sur le Privacy Shield devraient suspendre leurs transferts de données vers les États-Unis jusqu’à ce que les autorités se penchent sur les questions de la proportionnalité des pratiques de surveillance massive des États-Unis et du droit des personnes concernées à un recours effectif.
Cette position devrait également s’appliquer aux transferts basés sur les BCR. En effet, étant donné que la Cour estime que le droit américain empêche les parties de se conformer aux CTT, il n’y a aucune raison de croire que les transferts vers les États-Unis, fondés sur le BCR, sont licites puisque ces derniers prévoit le même mecanisme de prohibition/suspension des transferts.
Compte tenu de ce qui précède, on peut également se demander si les organisations doivent suspendre leurs transferts vers d’autres pays tiers ayant des pratiques de surveillance similaires, tels que la Chine, la Russie, etc.
Les recommandations du CEPD sont donc vivement attendues pour pouvoir prendre une décision.
Cette publication est également disponible en en_GB.