Alors que le scandale « Cambridge Analytica » continue depuis deux ans de ternir l’image de Facebook, une autre affaire dite « Schrems » suit son cours devant la Cour de justice européenne et fait trembler les GAFAM. Retour sur les conclusions de l’avocat général rendues le 19 décembre 2019.
Par Charlotte Barraco-David, avocate, et Marie-Hélène Tonnellier, avocate associée, cabinet Latournerie Wolfrom Avocats
Les clauses contractuelles types – conformes à la décision prise il y a dix ans maintenant, le 5 février 2010, par la Commission européenne (1) – seraient bien un moyen valable de transfert de données personnelles hors d’Europe (lire encadré page suivante). C’est en tous cas ce que l’avocat général de la Cour de justice de l’Union européenne (CJUE) préconise de juger dans la deuxième affaire « Schrems » (2) qui fait trembler les GAFAM. Reste à attendre de savoir si, comme souvent, la CJUE le suivra. Cette décision, imminente, est attendue non sans une certaine fébrilité.
Schrems II : le retour
Les conclusions de l’avocat général, le Danois Henrik Saugmandsgaard Øe (3), ont été publiées le 19 décembre dernier et s’inscrivent dans le cadre de la saga judiciaire « Schrems », du nom de l’activiste autrichien Maximillian (Max) Schrems qui lutte pour la protection de ses données personnelles face au géant américain Facebook. Cette saga débute en 2013 avec l’affaire « Schrems I ». L’activiste, alors simple étudiant en droit, dépose plainte contre Facebook devant l’équivalent de la Cnil en Irlande (le DPC), le siège européen du groupe américain se trouvant dans cet Etat européen réputé fiscalement accueillant.
Cette première affaire fait suite aux révélations d’Edward Snowden, le lanceur d’alerte qui avait révélé plusieurs programmes américains et britanniques de surveillance de masse. Elle a conduit la CJUE, le 6 octobre 2015, à invalider la décision d’adéquation rendue par la Commission européenne sur laquelle reposait le transfert des données opéré par Facebook Irlande vers sa maison-mère américaine et auto-certifié dans le cadre du Safe Harbour (4), le prédécesseur du Privacy Shield (l’actuel « bouclier de protection des données »). La Cour européenne avait alors considéré que le droit américain présentait des risques trop importants d’ingérence des autorités américaines dans la vie privée des Européens, dont les données étaient transférées vers les Etats-Unis. Et ce, afin que des organismes américains, mêmes de bonne volonté, puissent ainsi bénéficier d’un tel blancseing. Un successeur avait alors rapidement été trouvé au Safe Harbor, en l’occurrence le Privacy Shield, présenté comme plus protecteur (5). Max Schrems a alors reformulé sa plainte auprès de la « Cnil » irlandaise (Data Protection Commissioner), arguant du fait que – les mêmes causes produisant les mêmes effets – ces clauses ne pouvaient pas servir de fondement au transfert de données personnelles vers un Etat aussi intrusif que les Etats-Unis. Tel est l’objet de cette deuxième procédure préjudicielle, l’affaire « Schrems II », laquelle a donné lieu aux conclusions de l’avocat général le 19 décembre 2019.
Le mécanisme des « clauses contractuelles types », lesquelles figurent en annexe et concernent la protection des données, a précisément pour objet de permettre de pallier l’absence de conformité de la législation du pays de destination. Son existence même postule donc que des données peuvent être transférées vers des pays par définition non « adéquats » (terme consacré en la matière), moyennant la mise en place de mécanismes destinés à contrebalancer les effets potentiellement négatifs de la législation de ce pays. Remettre en cause le principe des clauses contractuelles au seul motif que la législation du pays de destination n’assurerait pas un niveau de protection équivalent à celui offert par le règlement général européen sur la protection des données (RGPD) reviendrait donc à priver d’effet son article 46 qui prévoit ces clauses.
Certes, l’avocat général « estime que les “garanties appropriées” [telles que les clauses contractuelles types (…)] doivent assurer que les droits des personnes dont les données sont transférées bénéficient, comme dans le cadre d’un transfert basé sur une décision d’adéquation, d’un niveau de protection substantiellement équivalent à celui qui résulte du RGPD, lu à la lumière de la Charte [des droits fondamentaux de l’Union européenne] ». Il précise toutefois que « la manière dont la continuité du niveau élevé de protection est préservée diffère en fonction de la base juridique du transfert ».
Décision d’adéquation et clauses contractuelles
Dès lors, le problème n’est pas – et ne doit pas être – la validité des clauses contractuelles, mais celui de l’effectivité des garanties de protection des données effectivement en place. Cela implique que le destinataire respecte les clauses, sans en être empêché par son droit local, ce qui est de la responsabilité du responsable du traitement donnant accès aux données de garantir. Le mécanisme des clauses contractuelles repose donc, dans la droite ligne du RGPD (6), sur la « responsabilisation de l’exportateur ainsi que, à titre subsidiaire, des autorités de contrôle ». La question de la validité des clauses ne devrait ainsi dépendre que du point de savoir « s’il existe des mécanismes suffisamment solides permettant d’assurer que les transferts fondés sur les clauses contractuelles types soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer », par exemple en raison d’une législation du pays de destination faisant obstacle au respect des obligations contractuelles souscrites par le destinataire des données.
Importateur et exportateur de données
Et en l’espèce, l’avocat général considère que tel est bien le cas des clauses résultant de la décision de 2010, telle que modifiée suite à l’affaire « Schrems I » par la décision de la Commission européenne du 16 décembre 2016 (7). En effet, au sein de ces clauses, la clause 5 intitulée « Obligations de l’importateur de données », le premier alinéa prévoit que s’il est dans l’incapacité de s’y conformer pour quelque raison que ce soit, « l’importateur des données » doit en informer « l’exportateur de données ». Ce dernier est alors fondé à (et devrait) suspendre le transfert « et/ou » résilier le contrat. Autrement dit, le pourvoyeur de ces données est tenu de stopper leur transfert, si son analyse le conduit à estimer que le risque pour la vie privée des personnes est important au regard des caractéristiques propres du traitement et de ce que les autorités de l’Etat tiers intrusif risquent de faire des données. De plus, le RGPD oblige les autorités de contrôle – si les « Cnil » estiment qu’un transfert ne respecte pas les droits des personnes concernées – à prendre des mesures pouvant aller jusqu’à ordonner la suspension du transfert (8).
La vision de l’avocat général apparaît donc conforme à la lettre et à l’esprit du RGPD : emplie de subtilité et d’une pointe de contradiction. Qu’il revient à ceux qui y sont soumis d’analyser, d’apprécier, et d’appliquer, en leur âme et conscience et surtout responsabilité. De quoi attiser un peu plus le sentiment anxiogène que laisse la lecture de ce texte pour ceux qui y sont soumis. Une invalidation claire et nette des clauses semblerait presque préférable. D’autant que, sur le fond, une telle invalidation serait l’occasion pour la Commission européenne de revoir sa copie pour mettre ces clauses à jour par rapport au RGPD. Rappelons en effet que les obligations imposées au destinataire hors Europe, lequel se trouve être sous-traitant en vertu de ces clauses, ne coïncident pas parfaitement avec celles qui doivent désormais être posées dans tout contrat de sous-traitance (avec ou sans transfert) en vertu de l’article 28 dudit RGPD.
Ne reste désormais qu’à savoir si la CJUE suivra son avocat général. A cet égard, si ses conclusions ne lient pas la Cour européenne, l’on remarque qu’elles l’inspirent souvent. @
FOCUS
Transferts de données personnelles hors de l’EEE
Comme avant lui l’article 26 de l’ancienne directive européenne de 1995 (promulguée il y a 25 ans) sur la protection des données personnelles en Europe (9), l’article 46 du fameux RGPD (10) interdit par principe le transfert de données personnelles hors de l’Union européenne (UE), ou plus précisément hors de l’Espace économique européen (EEE).
Cet EEE, dont le comité mixte du 6 juillet 2018 a incorporé le RGPD dans son accord de 1994, est constitué des pays membres de l’UE, de l’Islande, de la Norvège et du Liechtenstein, pays auxquels il faut désormais ajouter, au moins provisoirement, le Royaume-Uni depuis le Brexit (11). Par transfert de données personnelles « hors d’Europe », les autorités de protection – que sont les équivalents de la Cnil en France – entendent aussi bien le déplacement physique de données que le simple accès depuis un pays situé hors de l’EEE à des données personnelles stockées sur le sol européen. En matière de transferts de données personnelles hors d’Europe, le RGPD pose un principe d’interdiction, assorti toutefois d’exceptions notables :
• Les transferts vers les pays dits adéquats (article 45 du RGPD). Il s’agit des transferts vers des pays hors d’Europe, dont la législation a été reconnue par la Commission européenne comme suffisamment protectrice au regard des standards européens. Si certains de ces pays peuvent sembler anecdotiques (Iles Féroé ou Guernesey par exemple), d’autres le sont beaucoup moins puisque figurent parmi eux les Etats-Unis. Dans ce cas particulier, la législation américaine n’est toutefois réputée adéquate qu’au bénéfice des organismes auto-certifiés dans le cadre du dispositif du « bouclier » Privacy Shield.
• Les transferts encadrés par des garanties appropriées (articles 46 et 47 du RGPD). Il s’agit cette fois de mécanismes conventionnels visant à pallier l’absence de décision d’adéquation du pays de destination. Les plus pratiqués sont les règles d’entreprises contraignantes (les « Binding Corporate Rules ») et les fameuses clauses contractuelles types de la Commission européenne (décision européenne de 2010, modifiée en 2016, notamment). Ces dernières sont très simples à mettre en œuvre en pratique : il s’agit d’un modèle de contrat qui doit être signé tel quel. Aucune de ses clauses ne peut être librement négociée. Seules les annexes décrivant le transfert doivent être complétées, selon un formalisme lui aussi imposé.
• Les transferts en vertu des dérogations particulières (article 49 du RGPD). Ces dérogations-là sont conçues de manière tellement exceptionnelle par les autorités de protection qu’elles n’ont pas vocation à s’appliquer à des transferts de données massifs ou structurels (12). Parmi ces dérogations, figurent notamment le consentement explicite des personnes concernées, ou encore les nécessités (réelles) de l’exécution d’un contrat particulier, un contrat de réservation d’hôtel à l’étranger par exemple. @