L’essentiel : La CJUE a invalidé le Privacy Shield américain, rendant nécessaire le recours aux clauses contractuelles types pour les transferts de données vers les États-Unis. Cette décision souligne les pouvoirs excessifs des services de renseignement américains, notamment à travers les programmes de surveillance PRISM et UPSTREAM. La Cour a constaté que les protections offertes par la législation américaine ne répondent pas aux exigences de protection des données de l’Union européenne, en raison de l’absence de droits opposables pour les personnes concernées. Ainsi, les programmes de surveillance ne garantissent pas un niveau de protection équivalent à celui du RGPD.

Le Privacy Shield américain vient d’être invalidé par la CJUE, ce qui implique désormais, pour les transferts de données vers les Etats-Unis, de recourir (à nouveau) aux clauses contractuelles types disponibles en téléchargement ici. En cause, les pouvoirs exorbitants des services du renseignement américain, notamment par les programmes de surveillance PRISM ou UPSTREAM.     

Censure de la décision BPD

La CJUE a considéré que les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers les États-Unis, et que la Commission a évaluées dans la décision Bouclier de protection des données des Etats-Unis (BPD), ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union.

En l’occurrence, la constatation opérée par la Commission dans la décision BPD selon laquelle les États-Unis assurent un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par le RGPD, lu à la lumière des articles 7 et 8 de la Charte des droits fondamentaux, a été remise en cause au motif, notamment, que les ingérences résultant des programmes de surveillance américains fondés sur l’article 702 du Foreign Intelligence Surveillance Act (FISA) et sur l’Executive Order 12333 (E.O. 12333 – la section 702 autorise expressément la NSA à récupérer des données de personnes étrangères) ne seraient pas soumises à des exigences assurant, dans le respect du principe de proportionnalité, un niveau de protection substantiellement équivalent à celui garanti par l’article 52 de la Charte.

Absence de limitations et de garanties

L’article 702 du FISA ne fait ressortir d’aucune manière l’existence de limitations à l’habilitation qu’il comporte pour la mise en œuvre des programmes de surveillance aux fins du renseignement extérieur, pas plus que l’existence de garanties pour des personnes non-américaines potentiellement visées par ces programmes. Dans ces conditions, cet article n’est pas susceptible d’assurer un niveau de protection substantiellement équivalent à celui garanti par la Charte, telle qu’interprétée par la jurisprudence européenne.

Selon les constatations figurant dans la décision BPD, les programmes de surveillance fondés sur l’article 702 du FISA doivent, certes, être mis en œuvre dans le respect des exigences résultant de la Presidential Policy Directive 28 (PPD-28). Toutefois, si la Commission a souligné, que de telles exigences revêtent un caractère contraignant pour les services de renseignement américains, le gouvernement américain a admis, en réponse à une question de la Cour, que la PPD-28 ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux. Dès lors, elle n’est pas susceptible d’assurer un niveau de protection substantiellement équivalent à celui résultant de la Charte, contrairement à ce qu’exige l’article 45 du RGPD, selon lequel la constatation de ce niveau dépend, notamment, de l’existence des droits effectifs et opposables dont bénéficient les personnes dont les données ont été transférées vers le pays tiers en cause.

S’agissant des programmes de surveillance fondés sur l’E.O. 12333, il ressort du dossier dont dispose la Cour que ce décret ne confère pas non plus de droits opposables aux autorités américaines devant les tribunaux. Sanction également de la possibilité, qui permet, dans le cadre des programmes de surveillance fondés sur l’E.O. 12333, d’accéder à des données en transit vers les États-Unis sans que cet accès fasse l’objet d’une quelconque surveillance judiciaire.

Ni l’article 702 du FISA ni l’E.O. 12333, lus en combinaison avec la PPD-28, ne correspondent aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité, si bien qu’il n’est pas permis de considérer que les programmes de surveillance fondés sur ces dispositions sont limités au strict nécessaire.

Par ailleurs, en ce qui concerne tant les programmes de surveillance fondés sur l’article 702 du FISA que ceux fondés sur l’E.O. 12333, il a été relevé aux points 181 et 182 du présent arrêt que ni la PPD-28 ni l’E.O. 12333 ne confèrent aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux, si bien que ces personnes ne disposent pas d’un droit de recours effectif.

Contexte de l’affaire

Dans sa plainte présentée le 1er décembre 2015, le citoyen autrichien Maximilian Schrems a fait valoir, notamment, que le droit américain impose à Facebook Inc. de mettre les données à caractère personnel qui lui sont transférées à la disposition des autorités américaines, telles que la National Security Agency (NSA) et le Federal Bureau of Investigation (FBI). Il a soutenu que, ces données étant utilisées dans le cadre de différents programmes de surveillance d’une manière incompatible avec les articles 7, 8 et 47 de la Charte, la décision CPT ne peut justifier le transfert desdites données vers les États-Unis.

Par arrêt du 6 octobre 2015, Schrems (C 362/14, EU:C:2015:650), la Cour a invalidé la décision 2000/520/CE de la Commission, du 26 juillet 2000, conformément à la directive 95/46, relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique, dans laquelle la Commission avait constaté que ce pays tiers assurait un niveau adéquat de protection.

À la suite du prononcé de cet arrêt, la Commission a adopté la décision BPD (validant les garanties américaines). La Commission avait constaté que les États-Unis assuraient un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies aux États-Unis dans le cadre du bouclier de protection des données Union européenne-États-Unis, celui-ci se composant, notamment, des principes publiés par le ministère américain du Commerce le 7 juillet 2016, ainsi que des observations et des engagements officiels.

Rappel sur les transferts de données personnelles hors UE

De façon générale, la Commission peut constater qu’un pays tiers assure un niveau de protection adéquat, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l’issue des négociations, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.

Un État membre peut toutefois autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants ; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

L’article 49 du RGPD énonce qu’en l’absence de décision d’adéquation y compris des règles d’entreprise contraignantes, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu qu’à l’une des conditions suivantes :

a) la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées ;

b) le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ;

c) le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale ;

d) le transfert est nécessaire pour des motifs importants d’intérêt public ;

e) le transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice ;

f) le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;

g) le transfert a lieu au départ d’un registre qui, conformément au droit de l’Union ou au droit d’un État membre, est destiné à fournir des informations au public et est ouvert à la consultation du public en général ou de toute personne justifiant d’un intérêt légitime, mais uniquement dans la mesure où les conditions prévues pour la consultation dans le droit de l’Union ou le droit de l’État membre sont remplies dans le cas d’espèce.

Lorsqu’un transfert ne peut pas être fondé sur une disposition de l’article 45 ou 46 du RGDP, y compris les dispositions relatives aux règles d’entreprise contraignantes, et qu’aucune des dérogations pour des situations particulières n’est applicable, un transfert vers un pays tiers ou à une organisation internationale ne peut avoir lieu que si ce transfert ne revêt pas de caractère répétitif, ne touche qu’un nombre limité de personnes concernées, est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée, et si le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel.

Le responsable du traitement informe alors l’autorité de contrôle (CNIL ou autres) du transfert. Le responsable du traitement doit également informer la personne concernée du transfert et des intérêts légitimes impérieux qu’il poursuit. Télécharger la décision

Q/R juridiques soulevées :

Qu’est-ce que le Privacy Shield et pourquoi a-t-il été invalidé ?

Le Privacy Shield était un cadre juridique établi entre l’Union européenne et les États-Unis pour réguler les transferts de données personnelles. Il a été invalidé par la Cour de justice de l’Union européenne (CJUE) en raison des préoccupations concernant les pouvoirs des services de renseignement américains, notamment à travers des programmes de surveillance tels que PRISM et UPSTREAM.

Cette invalidation signifie que les entreprises doivent désormais recourir aux clauses contractuelles types pour transférer des données vers les États-Unis. La CJUE a jugé que les protections offertes par le Privacy Shield ne répondaient pas aux exigences de protection des données de l’Union, en particulier en ce qui concerne les droits des citoyens européens face aux ingérences des autorités américaines.

Quels sont les principaux problèmes soulevés par la CJUE concernant la surveillance américaine ?

La CJUE a mis en lumière plusieurs problèmes majeurs concernant la surveillance américaine. Tout d’abord, elle a souligné que les programmes de surveillance, tels que ceux basés sur l’article 702 du Foreign Intelligence Surveillance Act (FISA) et l’Executive Order 12333, ne respectaient pas le principe de proportionnalité, essentiel en droit de l’Union.

Ces programmes permettent aux autorités américaines d’accéder à des données sans garanties suffisantes pour les personnes non-américaines. En particulier, la CJUE a noté l’absence de limitations claires et de droits opposables pour les individus concernés, ce qui compromet leur protection. Ainsi, les droits des citoyens européens ne sont pas suffisamment garantis face aux pratiques de surveillance des États-Unis.

Quelles sont les implications de cette décision pour les transferts de données ?

L’invalidation du Privacy Shield a des implications significatives pour les transferts de données entre l’Union européenne et les États-Unis. Désormais, les entreprises doivent utiliser des clauses contractuelles types pour assurer la protection des données lors de ces transferts. Cela signifie qu’elles doivent mettre en place des garanties supplémentaires pour protéger les données personnelles des citoyens européens.

Les entreprises doivent également être conscientes des risques associés à ces transferts, notamment en ce qui concerne la surveillance par les autorités américaines. Elles doivent informer les personnes concernées des risques potentiels liés à l’absence de protections adéquates, ce qui pourrait compliquer les relations commerciales et la gestion des données.

Quel est le contexte de la plainte de Maximilian Schrems ?

Maximilian Schrems, un citoyen autrichien, a déposé une plainte en 2015, arguant que le droit américain permettait à Facebook de transmettre ses données personnelles aux autorités américaines, comme la NSA et le FBI. Il a soutenu que cette pratique était incompatible avec les droits garantis par la Charte des droits fondamentaux de l’Union européenne.

Sa plainte a conduit à l’invalidation de la décision antérieure de la Commission européenne, qui avait jugé que les États-Unis offraient un niveau adéquat de protection des données. Cette affaire a mis en lumière les lacunes du cadre juridique américain en matière de protection des données, entraînant des conséquences importantes pour les transferts de données entre l’UE et les États-Unis.

Quelles sont les alternatives pour les transferts de données vers des pays tiers ?

En l’absence d’une décision d’adéquation, comme celle qui a été invalidée, les transferts de données vers des pays tiers peuvent se faire sous certaines conditions. L’article 49 du RGPD énonce plusieurs situations dans lesquelles ces transferts peuvent être autorisés, notamment avec le consentement explicite de la personne concernée ou lorsque le transfert est nécessaire à l’exécution d’un contrat.

Les entreprises peuvent également recourir à des garanties suffisantes, telles que des clauses contractuelles appropriées, pour assurer la protection des données. Cela implique une évaluation rigoureuse des circonstances entourant le transfert et la mise en place de mesures pour protéger les droits des individus concernés.