Transfert de données personnelles des chauffeurs Uber vers les États-Unis

Notez ce point juridique

En dépit de la jurisprudence Maximillian Schrems, la CNIL reste en droit d’appliquer les règles de répartition des compétences entre les autorités de contrôle prévues par l’article 56 du RGPD en cas de réclamation relative à un transfert de données vers les Etats-Unis.

Le transfert des données personnelles des chauffeurs Uber vers les États-Unis n’emporte pas de dommage imminent et n’a pas été suspendu par les juridictions.     

Procédure d’urgence contradictoire

Lorsque le non-respect des dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou de la loi Informatique et libertés entraîne une violation des droits et libertés et que le président de la CNIL  considère qu’il est urgent d’intervenir, il doit saisir la formation restreinte, qui peut, dans le cadre d’une procédure d’urgence contradictoire prononcer une mesure d’interruption provisoire de la mise en œuvre du traitement, y compris d’un transfert de données hors de l’Union européenne, pour une durée maximale de trois mois, si le traitement n’est pas au nombre de ceux qui intéressent la sûreté de l’Etat ou la défense (article 21 de la loi du 6 janvier 1978).

Portée de l’affaire Maximillian Schrems

L’arrêt de la Cour de justice de l’Union européenne du 16 juillet 2020 (Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems C-311/18) concernant l’invalidité de la décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données Union européenne – Etats-Unis n’entraîne pas l’inapplication des règles de répartition des compétences entre les autorités de contrôle prévues par l’article 56 du RGPD en cas de réclamation relative à un transfert de données vers les Etats-Unis. Par suite, la présidente de la CNIL n’a pas commis d’erreur de droit en faisant application de ces dispositions.

Niveau adéquat de protection des données

Si, ainsi que l’a relevé la CJUE dans son arrêt du 16 juillet 2020, les Etats-Unis n’assurent pas un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies dans ce pays, du fait des possibilités d’accès à ces données et d’utilisation de celles-ci par les autorités publiques américaines dans le cadre de programmes de surveillance fondés sur l’article 702 du « Foreign Intelligence Surveillance Act » (FISA) ou de l’« Executive Order 12333 », il ne ressort pas des pièces du dossier, eu égard notamment à la nature des données collectées, que cette situation ferait peser sur les requérants une menace grave et imminente.

Par suite, la présidente de la CNIL n’a pas commis d’erreur manifeste d’appréciation en estimant que les conditions de mise en œuvre de la procédure dérogatoire aux règles de répartition des compétences entre les autorités de contrôle prévue par les articles 66 du RGPD et 21, I de la loi du 6 janvier 1978 n’étaient pas réunies.

Compétences de la CNIL

Pour rappel, l’article 8 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose que la CNIL traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable.

Il appartient à la CNIL de procéder, lorsqu’elle est saisie d’une plainte ou d’une réclamation tendant à la mise en œuvre de ses pouvoirs, à l’examen des faits qui sont à l’origine de la plainte ou de la réclamation et de décider des suites à lui donner. Elle dispose, à cet effet, d’un large pouvoir d’appréciation et peut tenir compte de la gravité des manquements allégués au regard de la législation ou de la réglementation qu’elle est chargée de faire appliquer, du sérieux des indices relatifs à ces faits, de la date à laquelle ils ont été commis, du contexte dans lequel ils l’ont été et, plus généralement, de l’ensemble des intérêts généraux dont elle a la charge.

L’auteur d’une plainte peut déférer au juge de l’excès de pouvoir le refus de la CNIL d’engager à l’encontre de la personne visée par la plainte une procédure sur le fondement du II de l’article 20 de la loi du 6 janvier 1978, y compris lorsque la CNIL procède à des mesures d’instruction ou constate l’existence d’un manquement aux dispositions de cette loi. Il appartient au juge de censurer ce refus en cas d’erreur de fait ou de droit, d’erreur manifeste d’appréciation ou de détournement de pouvoir.

L’article 55 du RGPD dispose que : « Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’État membre dont elle relève » tandis qu’aux termes de l’article 56 de ce règlement : « 1. Sans préjudice de l’article 55, l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l’article 60. (…) 6. L’autorité de contrôle chef de file est le seul interlocuteur du responsable du traitement ou du sous-traitant pour le traitement transfrontalier effectué par ce responsable du traitement ».

Aux termes de l’article 66 du même règlement : « 1. Dans des circonstances exceptionnelles, lorsqu’une autorité de contrôle concernée considère qu’il est urgent d’intervenir pour protéger les droits et libertés des personnes concernées, elle peut, par dérogation au mécanisme de contrôle de la cohérence visé aux articles 63, 64 et 65 ou à la procédure visée à l’article 60, adopter immédiatement des mesures provisoires visant à produire des effets juridiques sur son propre territoire et ayant une durée de validité déterminée qui n’excède pas trois mois. L’autorité de contrôle communique sans tarder ces mesures et les raisons de leur adoption aux autres autorités de contrôle concernées, au comité et à la Commission ».

___________________________________________________________________________________________________

REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS  

Conseil d’État

10ème chambre

26 avril 2022

N° 449845, Inédit au recueil Lebon

Texte intégral

Par une requête sommaire, un mémoire complémentaire et un mémoire en réplique enregistrés les 17 février et 17 mai 2021 et le 7 mars 2022 au secrétariat du contentieux du Conseil d’Etat, la Ligue des droits de l’homme et les autres requérants dont le nom figure dans le mémoire introductif d’instance demandent au Conseil d’Etat :

1°) d’annuler la décision du 17 décembre 2020 par laquelle la CNIL a rejeté la demande de la Ligue des droits de l’homme tendant à ce que la Commission exerce en urgence son droit de contrôle et de sanction afin de suspendre ou d’interdire le transfert de données personnelles des chauffeurs Uber vers les États-Unis et tout pays tiers ;

2°) de mettre à la charge de l’Etat, ou à défaut de la CNIL, la somme de 5 000 euros au titre des dispositions de l’article L. 761-1 du code de justice administrative.

Vu les autres pièces du dossier ;

Vu :

 –  la Charte des droits fondamentaux de l’Union européenne ;

 – le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;

 – loi n° 78-17 du 6 janvier 1978 ;

 – l’arrêt de la Cour de justice de l’Union européenne du 16 juillet 2020, Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems (C-311/18) ;

 –  le code de justice administrative ;

Après avoir entendu en séance publique :

— le rapport de Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire,

— les conclusions de M. Laurent Domingo, rapporteur public ;

La parole ayant été donnée, après les conclusions, à la SCP Foussard, Froger, avocat de la Ligue des droits de l’homme ;

Considérant ce qui suit :

1. Par trois courriers, datés des 12 juin, 29 septembre et 25 novembre 2020, la Ligue des droits de l’homme, mandatée par plusieurs chauffeurs utilisant la plateforme de mise en relation « Uber », a demandé à la CNIL de suspendre ou interdire en urgence le transfert de données personnelles des chauffeurs vers les Etats-Unis et tous pays tiers, sur le fondement du IV de l’article 21 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Après avoir répondu une première fois le 13 octobre 2020 à la Ligue des droits de l’homme que sa réclamation avait été transmise à l’autorité de contrôle néerlandaise en application des règles de coopération prévues par le RGPD, la présidente de la CNIL lui a de nouveau indiqué, par un courrier du 17 décembre 2020, que seule l’autorité de contrôle néerlandaise était compétente pour traiter sa réclamation et que les circonstances ne justifiaient pas que la CNIL déroge aux règles de répartition des compétences prévues par le RGPD en se substituant à cette autorité. La Ligue des droits de l’homme et 168 chauffeurs utilisant la plateforme de mise en relation « Uber » demandent l’annulation de cette décision.

2. L’article 8 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose que : « La Commission nationale de l’informatique et des libertés est une autorité administrative indépendante. (…) Elle exerce les missions suivantes : (…) 2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France. / A ce titre : (…) d) Elle traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable (…) ». Il appartient à la CNIL de procéder, lorsqu’elle est saisie d’une plainte ou d’une réclamation tendant à la mise en œuvre de ses pouvoirs, à l’examen des faits qui sont à l’origine de la plainte ou de la réclamation et de décider des suites à lui donner. Elle dispose, à cet effet, d’un large pouvoir d’appréciation et peut tenir compte de la gravité des manquements allégués au regard de la législation ou de la réglementation qu’elle est chargée de faire appliquer, du sérieux des indices relatifs à ces faits, de la date à laquelle ils ont été commis, du contexte dans lequel ils l’ont été et, plus généralement, de l’ensemble des intérêts généraux dont elle a la charge. L’auteur d’une plainte peut déférer au juge de l’excès de pouvoir le refus de la CNIL d’engager à l’encontre de la personne visée par la plainte une procédure sur le fondement du II de l’article 20 de la loi du 6 janvier 1978, y compris lorsque la CNIL procède à des mesures d’instruction ou constate l’existence d’un manquement aux dispositions de cette loi. Il appartient au juge de censurer ce refus en cas d’erreur de fait ou de droit, d’erreur manifeste d’appréciation ou de détournement de pouvoir.

3. L’article 55 du RGPD dispose que : « Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’État membre dont elle relève » tandis qu’aux termes de l’article 56 de ce règlement : « 1. Sans préjudice de l’article 55, l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l’article 60. (…) 6. L’autorité de contrôle chef de file est le seul interlocuteur du responsable du traitement ou du sous-traitant pour le traitement transfrontalier effectué par ce responsable du traitement ». Aux termes de l’article 66 du même règlement : « 1. Dans des circonstances exceptionnelles, lorsqu’une autorité de contrôle concernée considère qu’il est urgent d’intervenir pour protéger les droits et libertés des personnes concernées, elle peut, par dérogation au mécanisme de contrôle de la cohérence visé aux articles 63, 64 et 65 ou à la procédure visée à l’article 60, adopter immédiatement des mesures provisoires visant à produire des effets juridiques sur son propre territoire et ayant une durée de validité déterminée qui n’excède pas trois mois. L’autorité de contrôle communique sans tarder ces mesures et les raisons de leur adoption aux autres autorités de contrôle concernées, au comité et à la Commission ». Aux termes enfin de l’article 21 de la loi du 6 janvier 1978 : « I.- Lorsque le non-respect des dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi entraîne une violation des droits et libertés mentionnés à l’article 1er de la présente loi et que le président de la commission considère qu’il est urgent d’intervenir, il saisit la formation restreinte, qui peut, dans le cadre d’une procédure d’urgence contradictoire définie par décret en Conseil d’Etat, adopter l’une des mesures suivantes : 1° L’interruption provisoire de la mise en œuvre du traitement, y compris d’un transfert de données hors de l’Union européenne, pour une durée maximale de trois mois, si le traitement n’est pas au nombre de ceux qui intéressent la sûreté de l’Etat ou la défense ou de ceux relevant du titre III lorsqu’ils sont mis en œuvre pour le compte de l’Etat (…) ».

4. En premier lieu, contrairement à que soutiennent les requérants, la décision attaquée énonce suffisamment les raisons pour lesquelles la CNIL a estimé qu’elle n’était pas compétente pour intervenir à la place de l’autorité de contrôle néerlandaise. Par ailleurs, en indiquant que seule cette autorité était compétente pour traiter leur réclamation, elle a implicitement mais nécessairement rejeté la demande de la Ligue des droits de l’homme tendant à ce qu’elle mette en œuvre les pouvoirs qu’elle tient du III de l’article 20 de la loi du 6 janvier 1978. Le moyen tiré de l’insuffisance de motivation de la décision attaquée doit par suite être écarté.

5. En deuxième lieu, contrairement à ce que soutiennent les requérants, il ne résulte pas de l’arrêt de la Cour de justice de l’Union européenne du 16 juillet 2020, Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems (C-311/18) que l’invalidité de la décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données Union européenne – Etats-Unis prononcée par cet arrêt entraînerait l’inapplication des règles de répartition des compétences entre les autorités de contrôle prévues par l’article 56 du RGPD en cas de réclamation relative à un transfert de données vers les Etats-Unis. Par suite, la présidente de la CNIL n’a pas commis d’erreur de droit en faisant application de ces dispositions.

6. En troisième lieu, si, ainsi que l’a relevé la Cour de justice de l’Union européenne dans son arrêt du 16 juillet 2020 mentionné ci-dessus, les Etats-Unis n’assurent pas un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies dans ce pays, du fait des possibilités d’accès à ces données et d’utilisation de celles-ci par les autorités publiques américaines dans le cadre de programmes de surveillance fondés sur l’article 702 du « Foreign Intelligence Surveillance Act » (FISA) ou de l’« Executive Order 12333 », il ne ressort pas des pièces du dossier, eu égard notamment à la nature des données collectées, que cette situation ferait peser sur les requérants une menace grave et imminente. Par suite, la présidente de la CNIL n’a pas commis d’erreur manifeste d’appréciation en estimant que les conditions de mise en œuvre de la procédure dérogatoire aux règles de répartition des compétences entre les autorités de contrôle prévue par les articles 66 du RGPD et 21, I de la loi du 6 janvier 1978 n’étaient pas réunies.

7. En dernier lieu, il résulte de ce qui a été dit au point précédent que les moyens tirés de ce que la CNIL a méconnu les dispositions du III de l’article 20, du IV de l’article 21 et de l’article 39 de la loi du 6 janvier 1978 ainsi que du f) du paragraphe 1 de l’article 57 et de l’article 77 du RGPD, en ne faisant pas elle-même usage des pouvoirs que lui confèrent ces dispositions, doivent également être écartés.

8. Il résulte de l’ensemble de ce qui précède que les conclusions des requérants tendant à l’annulation de la décision de la présidente de la CNIL du 17 décembre 2020 ainsi, par voie de conséquence, que celles tendant à ce qu’une somme soit mise à la charge de la CNIL au titre des dispositions de l’article L. 761-1 du code de justice administrative, doivent être rejetées.

D E C I D E :

————–

Article 1er : La requête de la Ligue des droits de l’homme et autres est rejetée.

Article 2 : La présente décision sera notifiée à la Ligue des droits de l’homme, première dénommée, pour l’ensemble des requérants et à la Commission nationale de l’informatique et des libertés.

Délibéré à l’issue de la séance du 17 mars 2022 où siégeaient : M. Bertrand Dacosta, président de chambre, présidant ; M. Alexandre Lallet, conseiller d’Etat et Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire-rapporteure.

Rendu le 26 avril 2022.

Le président :

Signé : M. Bertrand Dacosta

La rapporteure :

Signé : Mme Myriam Benlolo Carabot

La secrétaire :

Signé : Mme A… B…

0 0 votes
Évaluation de l'article
S’abonner
Notification pour
guest
0 Commentaires
Le plus ancien
Le plus récent Le plus populaire
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x
Scroll to Top