Veille juridique

SCHREMS II, un final attendu et redouté

Veille Juridique N°26 – Août 2020

SCHREMS II, un final attendu et redouté. Le 16 juillet 2020, la Cour de justice de l’Union européenne a invalidé le Privacy Shield, un accord essentiel qui constituait la base légale des transferts de données à caractère personnel entre l’Europe et les États-Unis.

Plus de 5300 entreprises américaines utilisaient le Shield dans le cadre de leurs traitements de données, et doivent désormais modifier la base légale de leurs transferts.

A l’origine de cette décision se trouve la plainte de Max Schrems, citoyen autrichien déjà à l’origine de l’annulation de l’accord qui avait précédé le Shield, les « Safe Harbour Principles ».

Le plaignant contestait les conditions dans lesquelles ses données traitées par Facebook étaient transmises aux Etats-Unis.

Sur la base de cette contestation, la Cour, dans son arrêt souvent évoqué sous le nom de « Schrems II », vient d’analyser la validité de deux instruments juridiques permettant les transferts hors Union Européenne :

  • Les clauses contractuelles types, qui peuvent être utilisées en principe avec n’importe quel pays tiers, et
  • La décision de la Commission européenne 2016/1250 concernant le Privacy Shield, accord taillé sur mesure pour les transferts vers les Etats-Unis.

La Cour n’a pas invalidé les clauses contractuelles types – scénario qui donnait des sueurs froides à bon nombre d’entreprises et de juristes.

En revanche, leur utilisation reste soumise à l’évaluation concrète, par l’exportateur des données, de la façon dont les clauses sont effectivement appliquées dans le pays tiers, en tenant compte notamment des possibilités pour les autorités publiques tels que les services de renseignement d’avoir accès aux données.

En cas d’accès aux données incompatible avec les principes des clauses, il incombe à l’exportateur, et s’il ne le fait pas, à l’autorité de supervision (équivalent de la CNIL) de suspendre le transfert.

Dans le cas du Privacy Shield, la Cour a estimé que, même si les principes de l’accord apportaient en principe un niveau de protection essentiellement équivalent à celui de l’Union Européenne, les exigences concrètes relatives à la sécurité́ nationale, à l’intérêt public et au respect de la législation américaine rendaient ces principes ineffectifs.

Elle a constaté que la portée des pouvoirs de surveillance des autorités américaines était excessive au regard du droit européen, et que les droits de recours des citoyens non américains auprès de juridictions indépendantes n’étaient pas garantis.

Ces constatations l’ont conduite à considérer la décision comme invalide.

Et maintenant ?

Les transferts vers les Etats-Unis ne peuvent plus se baser sur le Shield.

Si certains se tournent vers les clauses contractuelles types, cette solution soulève des doutes : ces clauses restent valables en principe, mais se heurtent au même problème que le Shield lorsqu’elles sont utilisées pour un transfert vers les Etats-Unis : l’ampleur des mesures de surveillance sur le sol américain et l’insuffisance de voies de recours des personnes concernées.

Certains évoquent la possibilité de crypter les données avant transfert pour empêcher leur utilisation par les autorités américaines, mais c’est sans compter les possibilités pour les autorités d’exiger légalement leur déchiffrement.

Le Comité européen de protection des données (EDPB) a publié le 17 juillet un communiqué dans lequel il résume ses premiers constats et annonce des lignes directrices complémentaires.

On en retient les observations suivantes :

– La décision de la Cour affecte directement les transferts vers les Etats-Unis, mais tous les transferts internationaux sont également concernés ;

– L’utilisation des clauses contractuelles types pour un transfert vers tout pays tiers reste possible mais doit faire l’objet, par l’exportateur, de vérifications spécifiques concernant le contenu des clauses, le contexte du transfert, et le régime juridique applicable dans le pays tiers (en particulier concernant la sécurité nationale) ;

– Si la situation présente des risques particuliers, des mesures additionnelles devront être prises : l’EDPB travaille actuellement à préciser ces mesures.

– Il est rappelé que l’importateur a le devoir d’informer l’exportateur de toute changement de législation qui aurait un impact sur l’application des clauses et qui pourrait ainsi conduire à leur suspension.

La Commission européenne a annoncé avoir entamé un dialogue avec ses homologues américains pour aboutir à un accord prévoyant un niveau de protection des données renforcé.

En attendant, l’association de Max Schrems, NOYB (« None Of Your Business ») a initié 101 plaintes contre des entreprises présentes dans l’ensemble de l’Union européenne, incluant Google, Facebook et Microsoft, ou qui utilisent Google Analytics et Facebook Connect sans tirer les conséquences de l’arrêt de la Cour.

Des possibilités existent pour transférer des données, autres que les clauses contractuelles types.

Elles ont été explicitées dans l’édito du mois de mars de cette lettre d’actualité.

L’alternative étant, plutôt que de transférer des données, de les gérer sur le sol européen.

En espérant que cet arrêt encourage le développement de tels services locaux.

Et aussi

France :

  • La CNIL lance une enquête sur TikTok : outre le bras de fer qui oppose la société chinoise aux Etats-Unis, des enquêtes sont en cours en Europe concernant la conformité de l’application au RGPD. La CNIL coordonne ses travaux avec ceux des autres autorités de supervision dans le cadre de l’EDPB.
  • Toujours en coopération avec ses homologues européens, la CNIL vient d’imposer le 5 août à la société de vente en ligne Spartoo une amende de 250 000 euros, pour manquement aux principes de minimisation des données, de conservation, d’information et de sécurité prévus par le RGPD.

Europe :

  • L’autorité de supervision britannique, l’ICO, se voit reprocher par les parlementaires une action jugée insuffisante au regard des violations du RGPD, en particulier dans le contexte de la pandémie de COVID19.
  • Au Royaume-Uni également, une cour d’appel a jugé ce 11 août que l’utilisation des technologies de reconnaissance faciale par la police des South Wales viole les droits fondamentaux, notamment le droit à la protection des données.
  • La Commission européenne travaille actuellement à l’élaboration d’une réglementation des services digitaux afin de renforcer ces services dans le marché intérieur et de clarifier le cadre légal pour les petites entreprises. Le Parlement européen prépare une recommandation dans ce contexte, qui devrait intégrer une série de préoccupations concernant la protection des données : chiffrement des informations, auditabilité des algorithmes, protection des données biométriques notamment.
  • La Commission européenne a annoncé le 4 août qu’elle ouvre une enquête sur le projet d’acquisition de Fitbit par Google. Ses préoccupations portent principalement sur la concentration de données dans les mains d’un acteur dominant, et en particulier des données de santé.

International :

  • Etats-Unis : dans une analyse d’impact datée du 30 juillet, le département de la sécurité intérieure détaille les pratiques constatées depuis des années aux frontières extérieures du pays, qui permettent aux agents de copier le contenu des téléphones et ordinateurs des personnes entrant aux Etats-Unis, et de les conserver pour une durée de 75 ans.
  • Twitter a confirmé début août être l’objet d’une enquête de la Commission fédérale du commerce des Etats-Unis concernant l’utilisation des données de ses clients à des fins publicitaires.
  • Brésil : la loi de protection des données à caractère personnel entrera en vigueur le 27 août. Une autorité de supervision vient également d’être instituée.
  • Également en Amérique latine, le Chili modernise sa loi de protection des données, et des projets de réglementation sont en cours au Paraguay et en Équateur.
  • L’Egypte a adopté ce 17 juin une loi sur la protection des données à caractère personnel.