Par la sentence du 16 juillet 2020, « Data Protection Commisioner c/ Facebook Ireland Limited, Maximilian Schrems C-311/18 », la Cour de Justice de l’Union Européenne (« CJUE » ou « Cour ») a déclaré nulle la Décision n° 2016/1250 ainsi que l’accord signé entre l’Union Européenne et les États-Unis d’Amérique ayant pour but de protéger et réglementer le transfert des données personnelles des citoyens européens vers des destinataires situés sur le territoire américain (« Privacy Shield »).
La décision de la Cour de Justice
La Cour a constaté que les traitements potentiels effectués par les autorités publiques américaines sur toutes les données personnelles transférées sur le territoire des États-Unis prévalent sur les limitations prévues par les droits fondamentaux des citoyens européens (« les intéressés ») que la réglementation européenne a pour but de protéger.
À ce jour, la réglementation européenne de référence en matière de protection des données personnelles est contenue dans le Règlement (UE) 2016/679 (le « Règlement ») selon lequel les données personnelles des intéressés, si elles sont transférées vers des pays n’appartenant pas à l’Union européenne, doivent être protégées par des garanties équivalentes à celles prévues par le droit européen.
La CJUE, en annulant le Privacy Shield, réaffirme la légitimité de l’instrument représenté par ce qu’on appelle les « Clauses Contractuelles Types » (« SCC – Standard Contractual Clauses ») adoptées par la Commission Européenne, mais elle attribue aux autorités de contrôle de chaque pays de l’Union la mission de vérifier et, si nécessaire, de suspendre et d’interdire le transfert des données personnelles vers des pays tiers dont l’ordonnancement ne respecterait pas les conditions prévues dans ces Clauses.
Les instruments prévus par le Règlement
La décision examinée ne pose pas une interdiction absolue de transférer les données personnelles vers les États-Unis, mais elle impose aux entités et aux organisations qui effectuent ce type de transfert de déterminer des instruments alternatifs légitimant cet échange et garantissant aux intéressés des niveaux de protection appropriés.
Sur ce point, nous précisons que le Règlement prévoit différents instruments et mécanismes à utiliser afin de mettre en place un transfert correct de données hors de l’Union Européenne. Notamment :
- la présence d’une décision sur l’adéquation aux exigences européennes en matière de protection des données personnelles ;
- l’adoption de Clauses Contractuelles Types ;
- l’adoption de Règles Contraignantes d’Entreprise (« BCR _ Binding Corporate Rules ») de la part des grands groupes internationaux, suite à la négociation avec les Autorités de contrôle des pays impliqués ;
- l’adhésion à des Codes de conduite spécifiques ou, de façon générale, à des mécanismes de certification lesquels doivent être appliqués contextuellement par l’entité à laquelle les données sont transférées ;
- l’accord de l’intéressé, qui doit être informé de façon appropriée, comme prévu par le Règlement.
◊◊◊◊
À la lumière de la sentence de la Cour de Justice examinée, les organisations qui effectuent les transferts de données personnelles des intéressés vers les États-Unis d’Amérique sont tenues de revoir les mécanismes sur lesquels elles ont fondé ces transferts, en déterminant des instruments alternatifs dans les hypothèses où, jusqu’à aujourd’hui, le Privacy Shield a été utilisé.
Comme la Cour l’a précisé, dans le cas où l’on choisirait l’instrument des Clauses Contractuelles Types, il sera nécessaire de déterminer les risques, même potentiels, en analysant non seulement l’organisation du récepteur de ces données mais aussi des facteurs comme le contexte, le secteur ou encore l’ordonnancement du pays tiers dans lequel ce dernier travaille.