Invalidation du Privacy shield : les premières questions-réponses du CEPD

Dans son arrêt, la Cour de justice de l’Union Européenne (CJUE) a examiné la validité de la décision 2010/87/CE de la Commission européenne relative aux clauses contractuelles types (« CCT ») et l'a jugée valide. En effet, la validité de cette décision n'est pas remise en cause par le simple fait que les clauses types relatives à la protection des données figurant dans celle-ci ne lient pas, compte tenu de leur nature contractuelle, les autorités du pays tiers vers lequel les données peuvent être transférées.

Toutefois, la CJUE ajoute que cette validité dépend de la question de savoir si la décision 2010/87/CE comporte des mécanismes efficaces permettant, en pratique, d'assurer le respect du niveau de protection essentiellement équivalent à celui garanti au sein de l'Union Européenne par le RGPD et de suspendre ou d’interdire les transferts de données personnelles opérés au moyen de telles clauses en cas de violation de ces clauses ou d'impossibilité de les respecter.

À cet égard, la CJUE rappelle notamment que la décision 2010/87/CE :

•  impose à l’exportateur de données et au destinataire des données ( « importateur de données ») l'obligation de vérifier, préalablement à tout transfert, en prenant en compte les circonstances du transfert, si le niveau de protection est respecté dans le pays tiers concerné ;
• exige que l'importateur de données informe l'exportateur de données de toute incapacité à se conformer aux clauses types de protection des données et, le cas échéant, à toute mesure complémentaire à celles prévues par les clauses, l'exportateur de données étant alors, en contrepartie, tenu de suspendre le transfert de données et/ou de résilier le contrat avec l'importateur de données.

La CJUE a également examiné la validité de la décision relative au bouclier de protection de la vie privée (décision 2016/1250 sur le caractère adéquat de la protection assurée par le bouclier de protection de la vie privée entre l'UE et les États-Unis), étant donné que les transferts en cause dans le cadre du litige national ayant conduit à la demande de décision préjudicielle ont eu lieu entre l'UE et les États-Unis.

La CJUE a estimé que les exigences du droit américain, et en particulier certains programmes permettant l'accès des autorités publiques américaines aux données personnelles transférées de l'UE vers les États-Unis à des fins de sécurité nationale, entraînent des limitations de la protection des données personnelles qui ne sont pas circonscrites de manière à satisfaire à des exigences essentiellement équivalentes à celles requises par le droit de l'UE, et que cette législation n'accorde pas aux personnes concernées des droits de recours devant les juridictions contre les autorités américaines (la CJUE souligne que certains programmes de surveillance permettant l'accès des autorités publiques américaines aux données personnelles transférées de l'UE vers les États-Unis à des fins de sécurité nationale ne prévoient aucune limitation du pouvoir conféré aux autorités américaines, ni l'existence de garanties pour les personnes potentiellement ciblées non américaines).

Du fait de l’ampleur de l’atteinte portée aux droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers, la CJUE a déclaré la décision d'adéquation du Privacy Shield invalide.

De façon générale, s’agissant des pays tiers, il y a lieu d’appliquer le même degré d’exigence que celui fixé par la CJUE dans son arrêt pour déterminer les « garanties appropriées » (article 46 du RGPD) qui doivent encadrer les transferts de données de l'EEE vers tout pays tiers. La législation américaine mentionnée par la CJUE (c'est-à-dire la section 702 du FISA et l’Executive Order 12333) s'applique à tout transfert vers les États-Unis par voie électronique qui relève du champ d'application de cette législation, quel que soit l'outil de transfert utilisé pour le transfert (l'article 702 du FISA s'applique à tous les "fournisseurs de services de communication électronique" (voir la définition figurant à l'article 50 USC § 1881(b)(4)), tandis que l’Executive Order 12333 organise la surveillance électronique, qui est définie comme « l'acquisition d'une communication non publique par des moyens électroniques sans le consentement d'une personne qui est partie à une communication électronique ou, dans le cas d'une communication non électronique, sans le consentement d'une personne qui est visiblement présente sur le lieu de la communication, à l'exclusion de l'utilisation d'un équipement radiogoniométrique uniquement pour déterminer l'emplacement d'un émetteur » (3.4 ; b)).

Non, la CJUE a invalidé la décision sur le Privacy Shield sans en maintenir les effets, parce que la loi américaine évaluée par la CJUE ne fournit pas un niveau de protection essentiellement équivalent à celui de l'UE. Cette évaluation de de la législation américaine doit être prise en compte pour tout transfert vers les États-Unis.

Les transferts effectués sur la base de ce cadre juridique sont illégaux. Si vous souhaitez continuer à transférer des données vers les États-Unis, vous devez vérifier si vous pouvez le faire dans les conditions définies ci-dessous.

La Cour a estimé que le droit américain (c'est-à-dire la section 702 du FISA et l’Executive Order 12333) n'assure pas un niveau de protection essentiellement équivalent (voir en particulier le considérant 145 de l'arrêt de la Cour, et la clause 4(g) de la décision 2010/87/UE de la Commission, ainsi que la clause 5(a) de la décision 2001/497/CE de la Commission et l'annexe II (c) de la décision 2004/915/CE de la Commission).

Que vous puissiez ou non transférer des données personnelles sur la base des CCT dépendra du résultat de votre évaluation, qui tiendra compte des circonstances des transferts, et des mesures supplémentaires que vous pourriez mettre en place. L’ensemble formé par les mesures supplémentaires et les CCT, après une analyse au cas par cas des circonstances entourant le transfert, devra garantir que la législation américaine ne compromet pas sur le niveau de protection adéquat que les clauses et ces mesures garantissent.

Si vous arrivez à la conclusion que, compte tenu des circonstances du transfert et d'éventuelles mesures supplémentaires, le respect des garanties appropriées ne serait pas assuré, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles.

Étant donné le jugement de la CJUE, qui a invalidé le Privacy Shield en raison du degré d'interférence créé par la loi des États-Unis avec les droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers, et le fait que le Privacy Shield a également été conçu pour apporter des garanties aux données transférées avec d'autres outils tels que les règles d’entreprise contraignantes (« BCR »), le jugement de la CJUE s'applique également dans le contexte des BCR, puisque la loi américaine primera également sur cet outil.

Que vous puissiez ou non transférer des données personnelles sur la base de BCR dépendra du résultat de votre évaluation, qui tiendra compte des circonstances des transferts et des mesures supplémentaires que vous pourriez mettre en place. L’ensemble formé par les mesures supplémentaires et les BCR, après une analyse au cas par cas des circonstances entourant le transfert, devra garantir que la législation américaine n'empiète pas sur le niveau de protection adéquat que les BCR et ces mesures garantissent.

Si vous arrivez à la conclusion que, compte tenu des circonstances du transfert et d'éventuelles mesures supplémentaires, le respect des garanties appropriées ne serait pas assuré, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles. Toutefois, si vous avez l'intention de continuer à transférer des données en dépit de cette conclusion, vous devez notifier votre autorité de contrôle compétente.

Le CEPD évaluera les conséquences de l'arrêt sur les autres outils de transfert que les CCT et les BCR. L'arrêt précise que le standard pour les garanties appropriées de l'article 46 du RGPD est celui de « l'équivalence essentielle ».

Comme l'a souligné la CJUE, il convient de noter que cet article 46 figure au chapitre V du RGPD et, par conséquent, doit être lu à la lumière de l'article 44 du RGPD, qui dispose que « toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis ».

Il est encore possible de transférer des données de l'EEE vers les États-Unis sur la base des dérogations prévues à l'article 49 du RGPD, à condition que les conditions énoncées dans cet article s'appliquent. Le RGPD renvoie à ses lignes directrices sur cette disposition (voir les lignes directrices 2/2018 de l'EDPB sur les dérogations à l'article 49 en vertu du règlement 2016/679, adoptées le 25 mai 2018, p.3).

En particulier, il convient de rappeler que lorsque les transferts sont fondés sur le consentement de la personne concernée, ils doivent être : explicite ; spécifique au transfert ou à l'ensemble de transferts de données (ce qui signifie que l'exportateur de données doit s'assurer d'obtenir un consentement spécifique avant la mise en place du transfert, même si celui-ci a lieu après la collecte des données) ; et éclairé, notamment des risques éventuels du transfert (ce qui signifie que la personne concernée doit également être informée des risques spécifiques résultant du fait que ses données seront transférées vers un pays qui n'offre pas une protection adéquate et qu'aucune garantie adéquate visant à assurer la protection des données n'est mise en œuvre).

En ce qui concerne les transferts nécessaires à l'exécution d'un contrat entre la personne concernée et le responsable du traitement, il convient de garder à l'esprit que les données personnelles ne peuvent être transférées que lorsque le transfert est occasionnel. Il conviendrait d'établir au cas par cas si les transferts de données doivent être considérés comme « occasionnels » ou « non occasionnels ». En tout état de cause, cette dérogation ne peut être invoquée que lorsque le transfert est objectivement nécessaire à l'exécution du contrat.

En ce qui concerne les transferts nécessaires pour des raisons importantes d'intérêt public (qui doit être reconnu dans la législation de l'UE ou des États membres (les références aux « États membres » doivent être comprises comme des références aux « États membres de l'EEE »)), le CEPD rappelle que l'exigence essentielle pour l'applicabilité de cette dérogation est la constatation d'un intérêt public important et non la nature de l'organisation, et que bien que cette dérogation ne soit pas limitée aux transferts de données « occasionnels », cela ne signifie pas que les transferts de données sur la base de la dérogation d'intérêt public important peuvent avoir lieu à grande échelle et de manière systématique. Il convient plutôt de respecter le principe général selon lequel les dérogations prévues à l'article 49 du RGPD ne doivent pas devenir « la règle » dans la pratique, mais doivent être limitées à des situations spécifiques et chaque exportateur de données doit s'assurer que le transfert répond au critère de stricte nécessité.

La CJUE a indiqué qu'en règle générale, les CCT peuvent toujours être utilisées pour transférer des données vers un pays tiers, mais le seuil fixé par la Cour pour les transferts vers les États-Unis s'applique à tout pays tiers. Il en va de même pour les BCR.

La CJUE a souligné qu'il incombe à l'exportateur et à l'importateur de données d'évaluer si le niveau de protection requis par le droit de l’UE est respecté dans le pays tiers concerné afin de déterminer si les garanties fournies par les CCT ou les BCR peuvent être respectées dans la pratique. Si ce n'est pas le cas, vous devez évaluer si vous pouvez prévoir des mesures supplémentaires pour assurer un niveau de protection essentiellement équivalent à celui prévu dans l'EEE, et si la législation du pays tiers n'empiétera pas sur ces mesures supplémentaires de manière à les priver d'effectivité.

Vous pouvez contacter votre importateur de données pour vérifier la législation de son pays et collaborer à son évaluation. Si vous ou l'importateur de données dans le pays tiers estimez que les données transférées en vertu des CCT ou des BCR ne bénéficient pas d'un niveau de protection essentiellement équivalent à celui garanti dans l'Espace économique européen (EEE), vous devez immédiatement suspendre les transferts. Si vous ne suspendez pas les transferts, vous devez en informer votre autorité de contrôle compétente. Bien que, comme l'a souligné la Cour, il incombe en premier lieu aux exportateurs et aux importateurs de données d'évaluer eux-mêmes si la législation du pays tiers de destination permet à l'importateur de données de se conformer aux clauses types de protection des données ou aux BCR, avant de transférer des données personnelles vers ce pays tiers, les autorités de protection des données auront également un rôle clé à jouer dans l'application du RGPD et lorsqu’elles prendront des décisions sur les transferts vers des pays tiers.

Comme la CJUE les y a invitées, afin d'éviter des décisions divergentes, elles poursuivront donc leurs travaux au sein du CEPD afin de rester cohérentes, notamment si les transferts vers des pays tiers doivent être interdits.

Les mesures complémentaires que vous pourriez envisager le cas échéant devraient être fournies au cas par cas, en tenant compte de toutes les circonstances du transfert et après évaluation de la législation du pays tiers, afin de vérifier si elle assure un niveau de protection adéquat.

La CJUE a souligné qu'il incombe en premier lieu à l'exportateur et à l'importateur de données de procéder à cette évaluation et de prévoir les mesures complémentaires nécessaires.

Le CEPD analyse actuellement l'arrêt de la Cour afin de déterminer le type de mesures complémentaires qui pourraient être fournies en plus des CCT ou des BCR, qu'il s'agisse de mesures juridiques, techniques ou organisationnelles, pour transférer des données vers des pays tiers où les CCT ou les BCR ne fourniront pas à eux seuls le niveau de garanties suffisant.

Le CEPD analyse plus en détail en quoi pourraient consister ces mesures supplémentaires et fournira davantage d'orientations ultérieurement.

Le contrat que vous avez conclu avec votre sous-traitant conformément à l'article 28.3 du RGPD doit prévoir si les transferts sont autorisés ou non (il faut garder à l'esprit que même le fait de donner accès à des données provenant d'un pays tiers, par exemple à des fins administratives, équivaut également à un transfert).

Une autorisation doit également être fournie  pour que les sous-traitants puissent confier à des sous-traitants secondaires le transfert de données vers des pays tiers. Vous devez être attentif et prudent, car une grande variété de solutions informatiques peut impliquer le transfert de données personnelles vers un pays tiers (par exemple, à des fins de stockage ou de maintenance).

Si vos données peuvent être transférées aux États-Unis et qu'aucune mesure supplémentaire ne peut être prévue pour garantir que la législation américaine n’affecte pas le niveau de protection essentiellement équivalent à celui offert dans l'EEE par les outils de transfert, ni qu’aucune dérogation au titre de l'article 49 du RGPD ne s'applique, la seule solution est de négocier un avenant ou une clause supplémentaire à votre contrat pour interdire les transferts vers les États-Unis. Les données doivent non seulement être stockées mais aussi administrées ailleurs qu'aux États-Unis.

Si vos données peuvent être transférées vers un autre pays tiers, vous devez également vérifier la législation de ce pays tiers pour vous assurer qu'elle est conforme aux exigences de la CJUE et au niveau de protection des données personnelles attendu. Si aucune base légale de transfert vers un pays tiers ne peut être trouvée, les données personnelles ne doivent pas être transférées en dehors du territoire de l'EEE et toutes les activités de traitement doivent avoir lieu dans l'EEE.