Invalidation du Privacy Shield

Le droit de la protection des données personnelles a fait l’objet d’une nouvelle modification substantielle par la Cour de Justice de l’Union Européenne (CJUE) le 16 juillet 2020 avec sa décision de grande chambre C-311/18 (dite « arrêt Schrems II »)[1]. C’est par cet arrêt, venant invalider la décision d’exécution de la Commission européenne du 12 juillet 2016[2] relative à l’adéquation de la protection assurée par le Privacy Shield, que la Cour s’est une nouvelle fois prononcée dans ce domaine. Elle a considéré que cet accord n’assurait pas un niveau adéquat de protection des données ; ceci en réponse aux questions préjudicielles de Maximilian Schrems et du Data Protection Commissioner, l’autorité irlandaise de contrôle de la protection des données.

Le Privacy Shield : un Safe Harbor 2.0 rapidement négocié puis invalidé

Historiquement, les deux accords successifs servant à encadrer les transferts de données personnelles de l’Union Européenne vers les États-Unis n’auront pas su faire grâce aux yeux de la Cour. Le Privacy Shield n’est en effet pas la première tentative européenne cherchant à conserver les relations entre ces deux puissances, en essayant d’encadrer les transferts de données personnelles pour une conformité du pays tiers avec le droit de l’Union. C’est donc pour pallier l’invalidation du Safe Harbor par la décision C-362/14 du 6 octobre 2015 (dite « arrêt Schrems I »)[3] que le Privacy Shield a été négocié entre 2015 et 2016.

La rapidité avec laquelle cet accord a été négocié a fait l’objet de critiques doctrinales, soutenant notamment que le Privacy Shield avait une teneur d’engagement provisoire destiné à conserver les engagements commerciaux entre l’Union Européenne et les États-Unis ; afin de ne pas laisser subsister un vide juridique quant à la protection des transferts de données.

Par l’arrêt Schrems II, c’est en réponse aux quatrième, cinquième, neuvième et dixième questions préjudicielles (des points 150 à 202 de la décision) que la Cour de Justice considère que le Privacy Shield est incompatible avec le droit de l’Union. Plus précisément, cette incompatibilité se fonde sur les articles 7, 8 et 47 de la Charte des droits fondamentaux de l’Union européenne qui prévoient les droits à la protection de la vie privée et la protection des données personnelles, mais également le droit à une protection juridictionnelle effective. Le régime même des transferts de données fondés sur une décision d’adéquation contrevient à l’article 45 du RGPD. C’est donc à cet égard que la Cour met fin au controversé Privacy Shield pour ne fonder la protection des transferts que sur les clauses-types.

Le maintien incertain d’un équilibre juridique par les clauses-types

Les clauses contractuelles types constituent un modèle permettant d’offrir des garanties appropriées au transfert de données. Comme mentionné dans leur nom, leur force contraignante ne résulte que de leur nature contractuelle et non d’une valeur normative.

Ainsi, outre le Privacy Shield, deux questions préjudicielles ont été formées en interrogeant la conformité de la décision 2010/87 de la Commission européenne du 5 février 2010[4] à la Charte des droits fondamentaux de l’Union européenne : ces clauses contractuelles n’étant contraignantes que pour le responsable de traitement et ses sous-traitant, sont-elles compatibles avec le droit de l’Union en ce qu’elles ne sont pas opposables au pays destinataire du traitement ? Également, les mécanismes mis en place par ces clauses permettent-ils une protection effective des données personnelles transférées ?

La Cour s’est prononcée en détaillant cette validité par le fait que, d’une part, il appartient au responsable du traitement et ses sous-traitants de prendre des mesures compensant l’insuffisance de garanties du pays destinataire, et que, d’autre part, ces clauses prévoient des mécanismes effectifs de protection. Certains de ces mécanismes ont ainsi été cités, parmi lesquels l’engagement du responsable du traitement et de ses sous-traitants de respecter le RGPD et la Charte, mais également le fait qu’en cas d’incompatibilité du droit du pays tiers avec les clauses, le responsable du traitement doive suspendre le transfert et détruire ou restituer les données transférées et leurs copies.

C’est donc à cet égard que la Cour considère que ces clauses-types sont valides et que leur présence permet d’écarter le risque de vide juridique. La Commission, par une approche plus pragmatique, est encline à l’adoption d’un nouvel instrument normatif qui viendrait combler le fait que les clauses-types ne sont pas contraignantes pour les autorités américaines. Une telle adoption serait en effet une bonne mesure, que ce soit en termes de protection des données personnelles ou de sécurité juridique, puisque l’instabilité résultant de ce flottement est la principale préoccupation pour les parlementaires français comme pour la presse américaine d’actualités de nouvelles technologies.

• Céline CASTETS-RENARD, « Le Privacy Shield », Dalloz IP/IT, 2016, p. 113.
• Thibault DOUVILLE, « Invalidation du Privacy Shield et insuffisance des clauses-types : fin (temporaire ?) des transferts de données à caractère personnel vers les États-Unis », AJ Contrat, 2020, p. 436.
• European Date Protection Board, Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 - Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems, 24 juillet 2020, https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en.
• Question de Philippe LATOMBE à Thomas COURBE, Compte rendu de la séance du 8 octobre 2020, Assemblée nationale, http://www.assemblee-nationale.fr/dyn/15/comptes-rendus/souvnum/l15souvnum2021004_compte-rendu.
• Mark KHAN, « The end of Privacy Shield: Why it matters and what businesses can do about it », 27 août 2020, https://venturebeat.com/2020/08/27/the-end-of-privacy-shield-why-it-matters-and-what-businesses-can-do-about-it/.