Privacy Shield : la Cour de justice de l'UE annule l'accord de transfert des données personnelles entre l'UE et les USA

Une victoire pour les défenseurs des libertés

Maximillian Schrems, ressortissant autrichien résidant en Autriche, est un utilisateur de Facebook depuis 2008. Comme pour les autres utilisateurs résidant dans l’Union, les données à caractère personnel de Schrems sont, en tout ou en partie, transférées par Facebook Ireland vers des serveurs appartenant à Facebook Inc., situés sur le territoire des États-Unis, où elles font l’objet d’un traitement. Schrems a déposé une plainte auprès de l’autorité irlandaise de contrôle, visant, en substance, à faire interdire ces transferts. Il a soutenu que le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre l’accès, par les autorités publiques, aux données transférées vers ce pays. Cette plainte a été rejetée, au motif notamment que la Commission avait constaté que les États-Unis assuraient un niveau adéquat de protection. Par un arrêt rendu le 6 octobre 2015, la Cour de justice de l'UE, saisie d’une question préjudicielle posée par la High Court (Haute Cour, Irlande), a jugé cette décision invalide.

C'est ainsi qu'elle a décidé le 6 octobre 2015 d'annuler l'accord « Safe Harbor » qui organisait une partie du transfert des données entre l’Union européenne et les États-Unis. Cet accord a été remplacé en 2016 par « Privacy Shield ».

Puis vient le règlement général relatif à la protection des données (RGPD) qui dispose que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. Selon ce règlement, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat. En l’absence d’une telle décision d’adéquation, un tel transfert ne peut être réalisé que si l’exportateur des données à caractère personnel, établi dans l’Union, prévoit des garanties appropriées, pouvant notamment résulter de clauses types de protection des données adoptées par la Commission, et si les personnes concernées disposent de droits opposables et de voies de droit effectives. Par ailleurs, le RGPD établit, de manière précise, les conditions dans lesquelles un tel transfert peut avoir lieu en l’absence d’une décision d’adéquation ou de garanties appropriées.

Maximillian Schrems décrie également le nouvel accord « Privacy Shield » et tente en 2018 un recours collectif au nom des consommateurs contre Facebook. Il indiquait alors que Facebook violait les lois sur la vie privée en transmettant certaines données aux services de renseignement américains.

La Cour estime, tout d’abord, que le droit de l’Union, et notamment le RGPD, s’applique à un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, même si, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté de l’État par les autorités du pays tiers concerné. Elle précise que ce type de traitement de données par les autorités d’un pays tiers ne saurait exclure un tel transfert du champ d’application du RGPD.

En ce qui concerne le niveau de protection requis dans le cadre d’un tel transfert, la Cour juge que les exigences prévues à cet effet par les dispositions du RGPD, qui ont trait à des garanties appropriées, des droits opposables et des voies de droit effectives, doivent être interprétées en ce sens que les personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données doivent bénéficier d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par ce règlement, lu à la lumière de la Charte. Dans ce contexte, elle précise que l’évaluation de ce
niveau de protection doit prendre en compte tant les stipulations contractuelles convenues entre l’exportateur des données établi dans l’Union et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données ainsi transférées, les éléments pertinents du système juridique de celui-ci.

La Cour de justice de l'UE a donc décidé d'annuler à son tour l'accord « Privacy Shield ». Ce dispositif est utilisé par la quasi-totalité des grandes entreprises américaines pour traiter les données personnelles (identité, comportement en ligne, géolocalisation…) de leurs utilisateurs européens. Très strictement réglementée en Europe, l’utilisation de ces données est moins encadrée aux États-Unis ; pour permettre aux entreprises américaines de les utiliser, le Privacy Shield prévoyait une dérogation, à condition qu’elles s’engagent à...