Dans une décision du 16 juillet 2020, la Cour de Justice de l’Union Européenne a invalidé le “Privacy Shield”.
Le “Privacy Shield” était un accord intervenu eentre 2015 et 2016 entre l’Union européenne et les États-Unis d’Amérique qui servait de fondement pour les transferts de données à caractère personnelles de l’Espace économique européen vers les États-Unis.
Le “Privacy Shield” étaot le successeur du “Safe harbour Agreement” qui avait lui aussi été invalidé par la Courde Justice de l’Union européenne quelques années auparavant.
Les lois de surveillance américaines ne sont pas conformes au prescrit du RGPD.
La Cour a indiqué dans son arrêt C-311/18 que les lois américaines sur la surveillance sont en contradiction avec les droits fondamentaux de l’UE et que le Privacy Shield ne garantit donc pas une protection adéquate des données à caractère personnelle transferées aux Etats-Unis qui est équivalente aux standards de l’UE.
Selon Max Schrems, activiste militant pour la protection des données à l’origine de la procédure (et également à l’origine de l’invalidation du mécanisme précédent à savoir le Safe Harbor) :
“La Cour a clarifié pour la deuxième fois maintenant qu’il y a un conflit entre la législation européenne sur la vie privée et la législation américaine sur la surveillance. Comme l’UE ne modifiera pas ses droits fondamentaux pour satisfaire la NSA, la seule façon de surmonter ce conflit est que les États-Unis introduisent des droits solides en matière de vie privée pour tous, y compris les étrangers. “
En effet, au États-Unis la loi ne protège pas suffisamment les données à caractère personnel des personnes étrangères contre les intrusions de la NSA. (National Surveillance Agency).
Par ailleurs, la NSA (et d’autres organismes de surveillance aux Etats-Unis) ne déclare pas quelles entreprises, quelles personnes ou quelles organisations font l’objet de mesures de surveillance, il n’y a par conséquent aucun moyens pour les personnes concernées d’exercer leurs droits reltifs au traitement de leurs données à caractère personnel.
La Commission européenne n’aurait pas procédé à une évaluation suffisante de l’adéquation du Privacy Shield par rapport aux standards de l’UE.
L’arrêt susmentionné indique également clairement que la Commission européenne n’aurait pas entrepris d’évaluation approfondie du “Privacy Shield “avant de le valider.
Selon Herwig Hofmann, professeur de droit à l’Université du Luxembourg et l’un des avocats plaidant les affaires de Schrems devant la CJUE : “La CJUE a invalidé la deuxième décision de la Commission violant les droits fondamentaux de l’UE en matière de protection des données. Il ne peut y avoir de transfert de données vers un pays où il existe des formes de surveillance de masse. Tant que la législation américaine donnera à son gouvernement le pouvoir d”acceder aux données de personnes dans l’UE transitant vers les États-Unis, ces instruments seront invalidés à maintes reprises. L’acceptation par la Commission des lois américaines en matière de surveillance de masse dans la décision “Privacy Shield” les a laissées sans défense”.
Les autorités chargées de la protection des données à caractère personnel ont le “devoir d’agir” et l’utilisation de clauses contractuelles types n’est pas une garantie absolue.
La Cour a rejoint l’avis de M. Schrems selon lequel c’est seulement à la condition que la loi du pays tiers destinataire ne soit pas incompatible avec le droit européen que les Clauses contractuelles type validées par la Commission – CCT en francais et SCC en Anglais) puissent être utilisées pour effectuer des transferts à l’étranger. (En tant qu’alternative valable à une décision d’adéquation de la Commission).
Par conséquent l’usage de CCT n’est pas proscrit mais devra être soumis à un contrôle (en fonction du pays destinataire) pour assurer son effectivité.
Selon Max Schrems : “L‘arrêt indique clairement que les entreprises ne peuvent plus se contenter d’utiliser les CCT, mais doivent également vérifier si les CCT peuvent être respectés en pratique dans le pays destinataire.
Une Autorité de protection des données à théoriquement le devoir d’ordonner à une entreprise d’arrêter les transferts si les clauses contractuelles types ne peuvent pas être respectées”.
En l’absence d’un nouveau mécanisme, seuls les transferts de données « nécessaires » vers les Etats-Unis peuvent encore continuer
En dépit des invalidations prononcées par cette décision, les transferts de données absolument nécessaires peuvent continuer sur base de l’Article 49 du RGPD. (Transferts qui ne peuvent être effectués sur base d’une décision d’adéquation, de CCT ou de binding corporate rules – en vertu des articles 45 et 46 du RGPD)
– En pratique, dans la situation où les utilisateurs consentent explicitement que leurs données à caractère personnel soient transférées à l’étranger le transfert peut avoir lieu.
– De même, le RGPD permet les transferts de données lorsque cela est nécessaire pour l’exécution d’un contrat ou des obligations pré-contractuelles.