CJUE : invalidation du Privacy shield

La CJUE invalide la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis, mais juge que la décision 2010/87 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers est valide.Les données à caractère personnel des utilisateurs européens de Facebook sont transférées par Facebook Ireland vers des serveurs appartenant à Facebook Inc., situés sur le territoire des Etats-Unis, où elles font l’objet d’un traitement. Un ressortissant autrichien, utilisateur de Facebook, a déposé une plainte auprès de l’autorité irlandaise de contrôle, visant, en substance, à faire interdire ces transferts. Il soutenait que le droit et les pratiques des Etats-Unis n’offrent pas de protection suffisante contre l’accès, par les autorités publiques, aux données transférées vers ce pays. Cette plainte a été rejetée, au motif que, dans sa décision 2000/520 du 26 juillet 2000, la Commission avait constaté que les Etats-Unis assuraient un niveau adéquat de protection. Par un arrêt rendu le 6 octobre 2015 (affaire C-362/14), la CJUE, saisie d’une question préjudicielle posée par la High Court (Haute Cour, Irlande), a jugé cette décision invalide.
La High Court interroge la CJUE sur l’applicabilité du règlement général relatif à la protection des données (RGPD – Règlement 2016/679) à des transferts de données à caractère personnel fondés sur des clauses types de protection figurant dans la décision 2010/87 de la Commission du 5 février 2010, sur le niveau de protection requis par ce règlement dans le cadre d’un tel transfert et sur les obligations incombant aux autorités de contrôle dans ce contexte. En outre, la High Court soulève la question de la validité tant de la décision 2010/87 que de la décision 2016/1250 de la Commission du 12 juillet 2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis.
Dans un arrêt du 16 juillet 2020 (affaire C-311/18), la Cour de justice de l’Union européenne constate que l’examen de la décision 2010/87 au regard de la charte des droits fondamentaux de l’Union européenne ne révèle aucun élément de nature à affecter sa validité. En revanche, elle déclare la décision 2016/1250 invalide.
RGPD
La Cour estime que le droit de l’Union, et notamment le RGPD, s’applique à un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un Etat membre vers un autre opérateur économique établi dans un pays tiers.
En ce qui concerne le niveau de protection requis dans le cadre d’un tel transfert, la Cour précise qu’il s’agit d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par le RGPD, lu à la lumière de la Charte. Dans ce contexte, elle précise que l’évaluation de ce niveau de protection doit prendre en compte tant les stipulations contractuelles convenues entre l’exportateur des données établi dans l’Union et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données ainsi transférées, les éléments pertinents du système juridique de celui-ci.
S’agissant des obligations incombant aux autorités de contrôle dans le contexte d’un tel transfert, ces autorités sont notamment obligées de suspendre ou d’interdire un transfert de données à caractère personnel vers un pays tiers lorsqu’elles estiment que les clauses types de protection des données ne sont pas ou ne peuvent pas être respectées dans ce pays et que la protection des données transférées, requise par le droit de l’Union, ne peut pas être assurée par d’autres moyens, à défaut pour l’exportateur établi dans l’Union d’avoir lui-même suspendu ou mis fin à un tel transfert.
Validité de la décision 2010/87
La CJUE précise que la validité de la décision 2010/87 dépend du point de savoir si cette décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer.La Cour constate que la décision 2010/87 met en place de tels mécanismes.
Validité de la décision 2016/1250
La Cour procède à l’examen de la validité de la décision 2016/1250 au regard des exigences découlant du RGPD, lu à la lumière de la Charte garantissant le respect de la vie privée et familiale, la protection des données à caractère personnel et le droit à une protection juridictionnelle effective.Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des Etats-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, et que la Commission a évaluées dans la décision 2016/1250, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.
Quant à l’exigence de protection juridictionnelle, la Cour juge que, contrairement à ce que la Commission a considéré dans la décision 2016/1250, le mécanisme de médiation visé par cette décision ne fournit pas à ces personnes une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union, de nature à assurer tant l’indépendance du médiateur prévu par ce mécanisme que l’existence de normes habilitant ledit médiateur à adopter des décisions contraignantes à l’égard des services de renseignement américains.
Pour toutes ces raisons, la Cour déclare la décision 2016/1250 invalide.
Stéphanie Baert
SUR LE MÊME SUJET :
CJUE : transfert de données personnelles vers des sous-traitants établis dans des pays tiers – Legalnews, 27 décembre 2019
CJUE : une autorité nationale de contrôle peut suspendre les transferts de données Facebook de l’UE vers les USA – Legalnews, 8 octobre 2015