La Cour de justice de l’Union européenne (CJUE) a rendu le 16 juillet 2020 un arrêt majeur concernant le régime de transferts de données entre l’Union européenne et les États-Unis dans l’affaire dite « Schrems II ».

Que dit l’arrêt « Schrems II » ?

Par décision du 16 juillet 2020 [1], la CJUE a, en substance :

  • – d’une part, invalidé la décision d’adéquation « Privacy Shield » permettant le transfert de données par une entité européenne vers des entreprises établies aux États-Unis,
  • – d’autre part, validé les clauses contractuelles types permettant le transfert de données depuis l’Union européenne vers des importateurs établis hors de l’Union.

Transfert de données à caractère personnel en dehors de l’Union européenne

Le règlement général relatif à la protection des données (« RGPD ») [2] dispose que le transfert de données à caractère personnel vers un pays tiers (et donc vers les Etats-Unis) ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données.

Selon le RGPD, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat [3]. En l’absence d’une telle décision d’adéquation, un tel transfert ne peut être réalisé que si l’exportateur des données à caractère personnel, établi dans l’Union, prévoit des garanties appropriées, pouvant notamment résulter de clauses types de protection des données adoptées par la Commission, et si les personnes concernées disposent de droits opposables et de voies de droit effectives [4].

 Le Privacy Shield

Le bouclier de protection des données, mieux connu sous le nom de « Privacy Shield » [5] est une décision d’adéquation adoptée en 2016 par la Commission européenne instaurant un mécanisme d’auto-certification qui permettait le transfert de données entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données sans autre formalité.

Or, la CJUE vient d’invalider l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, « au regard des exigences découlant du RGPD, lu à la lumière des dispositions de la Charte [des droits fondamentaux de l’Union européenne] garantissant le respect de la vie privée et familiale, la protection des données à caractère personnel et le droit à une protection juridictionnelle effective » [6].

Comme le rappelle notre correspondant Lexing France [7], le Privacy Shield avait été attaqué dès son adoption, par le militant autrichien de la vie privée Max Schrems. Ce dernier, qui avait déjà obtenu l‘annulation du « Safe Harbor » américain en 2015 (Schrems I) [8], obtient donc également l’annulation du Privacy Shield avec cet arrêt Schrems II.

“Cela risque de poser de sérieuses difficultés à de nombreuses entreprises déjà affaiblies par la pandémie de Covid », estime notre correspondante Lexing USA, Françoise Gilbert, pour qui cette décision « détruit le pont virtuel qui permettait aux 5.378 organisations adhérentes au Privacy Shield basées aux États-Unis de faire des affaires avec des entités situées dans l’Union européenne et l’Espace économique européen »[9].

Les clauses contractuelles types

Dans cet arrêt, la CJUE a en revanche validé les clauses contractuelles types figurant à l’annexe de la décision 2010/87 [10] permettant le transfert de données depuis l’Union européenne vers des importateurs établis hors de l’Union.

Toutefois, précise-t-elle, cette validité dépend du point de savoir si ladite décision « comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer ».[11]

Enjeux et conséquences

Alors que la CNIL procède actuellement à une analyse précise de l’arrêt [12], en lien avec ses homologues européens réunis au sein du Comité Européen pour la Protection des Données, pour en tirer, dans les meilleurs délais, les conséquences pour les transferts de données de l’Union européenne vers les États-Unis, nos correspondants Lexing France et Lexing USA vous présentent les enjeux de cette décision :

  • – Quelles sont les conséquences immédiates pour les transferts de données actuellement en cours vers les Etats-Unis ?
  • – Qu’en est-il exactement de la validité des clauses contractuelles types ?
  • – Que faire pour assurer désormais la légalité de vos transferts vers les USA ?

Lire l’article (en français) sur le site de Lexing France

« Le Privacy Shield invalidé par la Cour de justice de l’Union européenne », 17-7-2020

Lire l’article (en anglais sur le site de Lexing USA

European Court of Justice Decision Creates Havoc in Global Digital Exchanges: One Shot Down, One seriously Injured; 5,300 Stranded”, 16-7-2020

[1] CJUE, affaire C‑311/18 du 16-7-2020, Schrems II

[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO 2016, L 119, p. 1)

[3] Article 45 du RGPD

[4] Article 46, paragraphe 1 et paragraphe 2, sous c), du RGPD

[5] Décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis

[6] Communiqué de presse n° 91/20 de la Cour de justice de l’Union européenne du 16-7-2020

[7] Lexing Alain Bensoussan Avocats « Le Privacy Shield invalidé par la Cour de justice de l’Union européenne», 17-7-2020

[8] CJUE affaire C-362/14 du 06-10-2015, Schrems I

[9] Françoise Gilbert « European Court of Justice Decision Creates Havoc in Global Digital Exchanges: One Shot Down, One seriously Injured; 5,300 Stranded», 16-7-2020

[10] Décision de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil (JO 2010, L 39, p. 5), telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission du 16 décembre 2016 (JO 2016, L 344, p. 100)

[11] CJUE, affaire C‑311/18 du 16-7-2020 (Schrems II), point 137

[12] Cnil, « Invalidation du « Privacy shield » : la CNIL et ses homologues analysent actuellement ses conséquences », 17-7-2020 ; CEPD “Statement on the Court of Justice of the European Union Judgment in Case C-311/18 – Data Protection Commissioner v Facebook Ireland and Maximillian Schrems, 17-7-2020