Le Privacy Shield américain vient d’être invalidé par la CJUE, ce qui implique désormais, pour les transferts de données vers les Etats-Unis, de recourir (à nouveau) aux clauses contractuelles types disponibles en téléchargement ici. En cause, les pouvoirs exorbitants des services du renseignement américain, notamment par les programmes de surveillance PRISM ou UPSTREAM.
Censure de la décision BPD
La CJUE a considéré que les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers les États-Unis, et que la Commission a évaluées dans la décision Bouclier de protection des données des Etats-Unis (BPD), ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union.
En l’occurrence, la constatation opérée par la Commission dans la décision BPD selon laquelle les États-Unis assurent un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par le RGPD, lu à la lumière des articles 7 et 8 de la Charte des droits fondamentaux, a été remise en cause au motif, notamment, que les ingérences résultant des programmes de surveillance américains fondés sur l’article 702 du Foreign Intelligence Surveillance Act (FISA) et sur l’Executive Order 12333 (E.O. 12333 – la section 702 autorise expressément la NSA à récupérer des données de personnes étrangères) ne seraient pas soumises à des exigences assurant, dans le respect du principe de proportionnalité, un niveau de protection substantiellement équivalent à celui garanti par l’article 52 de la Charte.
Absence de limitations et de garanties
L’article 702 du FISA ne fait ressortir d’aucune manière l’existence de limitations à l’habilitation qu’il comporte pour la mise en œuvre des programmes de surveillance aux fins du renseignement extérieur, pas plus que l’existence de garanties pour des personnes non-américaines potentiellement visées par ces programmes. Dans ces conditions, cet article n’est pas susceptible d’assurer un niveau de protection substantiellement équivalent à celui garanti par la Charte, telle qu’interprétée par la jurisprudence européenne.
Selon les constatations figurant dans la décision BPD, les programmes de surveillance fondés sur l’article 702 du FISA doivent, certes, être mis en œuvre dans le respect des exigences résultant de la Presidential Policy Directive 28 (PPD-28). Toutefois, si la Commission a souligné, que de telles exigences revêtent un caractère contraignant pour les services de renseignement américains, le gouvernement américain a admis, en réponse à une question de la Cour, que la PPD-28 ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux. Dès lors, elle n’est pas susceptible d’assurer un niveau de protection substantiellement équivalent à celui résultant de la Charte, contrairement à ce qu’exige l’article 45 du RGPD, selon lequel la constatation de ce niveau dépend, notamment, de l’existence des droits effectifs et opposables dont bénéficient les personnes dont les données ont été transférées vers le pays tiers en cause.
S’agissant des programmes de surveillance fondés sur l’E.O. 12333, il ressort du dossier dont dispose la Cour que ce décret ne confère pas non plus de droits opposables aux autorités américaines devant les tribunaux. Sanction également de la possibilité, qui permet, dans le cadre des programmes de surveillance fondés sur l’E.O. 12333, d’accéder à des données en transit vers les États-Unis sans que cet accès fasse l’objet d’une quelconque surveillance judiciaire.
Ni l’article 702 du FISA ni l’E.O. 12333, lus en combinaison avec la PPD-28, ne correspondent aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité, si bien qu’il n’est pas permis de considérer que les programmes de surveillance fondés sur ces dispositions sont limités au strict nécessaire.
Par ailleurs, en ce qui concerne tant les programmes de surveillance fondés sur l’article 702 du FISA que ceux fondés sur l’E.O. 12333, il a été relevé aux points 181 et 182 du présent arrêt que ni la PPD-28 ni l’E.O. 12333 ne confèrent aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux, si bien que ces personnes ne disposent pas d’un droit de recours effectif.
Contexte de l’affaire
Dans sa plainte présentée le 1er décembre 2015, le citoyen autrichien Maximilian Schrems a fait valoir, notamment, que le droit américain impose à Facebook Inc. de mettre les données à caractère personnel qui lui sont transférées à la disposition des autorités américaines, telles que la National Security Agency (NSA) et le Federal Bureau of Investigation (FBI). Il a soutenu que, ces données étant utilisées dans le cadre de différents programmes de surveillance d’une manière incompatible avec les articles 7, 8 et 47 de la Charte, la décision CPT ne peut justifier le transfert desdites données vers les États-Unis.
Par arrêt du 6 octobre 2015, Schrems (C 362/14, EU:C:2015:650), la Cour a invalidé la décision 2000/520/CE de la Commission, du 26 juillet 2000, conformément à la directive 95/46, relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique, dans laquelle la Commission avait constaté que ce pays tiers assurait un niveau adéquat de protection.
À la suite du prononcé de cet arrêt, la Commission a adopté la décision BPD (validant les garanties américaines). La Commission avait constaté que les États-Unis assuraient un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies aux États-Unis dans le cadre du bouclier de protection des données Union européenne-États-Unis, celui-ci se composant, notamment, des principes publiés par le ministère américain du Commerce le 7 juillet 2016, ainsi que des observations et des engagements officiels.
Rappel sur les transferts de données personnelles hors UE
De façon générale, la Commission peut constater qu’un pays tiers assure un niveau de protection adéquat, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l’issue des négociations, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.
Un État membre peut toutefois autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants ; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.
L’article 49 du RGPD énonce qu’en l’absence de décision d’adéquation y compris des règles d’entreprise contraignantes, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu qu’à l’une des conditions suivantes :
a) la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées ;
b) le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ;
c) le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale ;
d) le transfert est nécessaire pour des motifs importants d’intérêt public ;
e) le transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice ;
f) le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
g) le transfert a lieu au départ d’un registre qui, conformément au droit de l’Union ou au droit d’un État membre, est destiné à fournir des informations au public et est ouvert à la consultation du public en général ou de toute personne justifiant d’un intérêt légitime, mais uniquement dans la mesure où les conditions prévues pour la consultation dans le droit de l’Union ou le droit de l’État membre sont remplies dans le cas d’espèce.
Lorsqu’un transfert ne peut pas être fondé sur une disposition de l’article 45 ou 46 du RGDP, y compris les dispositions relatives aux règles d’entreprise contraignantes, et qu’aucune des dérogations pour des situations particulières n’est applicable, un transfert vers un pays tiers ou à une organisation internationale ne peut avoir lieu que si ce transfert ne revêt pas de caractère répétitif, ne touche qu’un nombre limité de personnes concernées, est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée, et si le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel.
Le responsable du traitement informe alors l’autorité de contrôle (CNIL ou autres) du transfert. Le responsable du traitement doit également informer la personne concernée du transfert et des intérêts légitimes impérieux qu’il poursuit. Télécharger la décision