Le 3 octobre 2017, la Haute Cour Irlandaise a indiqué son intention de poser à la Cour de Justice de l’Union Européenne une question préjudicielle sur la validité des Clauses Contractuelles Types (CCT) de la Commission Européenne. Ces clauses servent à l’export des données personnelles recueillies en dans l’Espace Économique Européen (EEE) vers un pays tiers.
Par cette décision, la Haute Cour reconnaît qu’il existe de « bonnes raisons de penser que [les Clauses Contractuelles Types] sont invalides, » et qu’il faut donc en référer à la CJUE pour assurer une application uniforme de la Directive sur la Data Protection dans l’UE (paragraphe 338 du jugement).
Contents
Le contexte
Maximillian Schrems contre Facebook, acte 2. C’est déjà un recours de Max Schrems contre Facebook qui avait eu pour conséquence la fin du Safe Harbor.
Les Clauses Contractuelles Types (EU Standard Contractual Clauses en anglais) servent au transfert de données entre un exportateur de données présent dans l’EEE et un importateur de données hors-EEE. Par ces clauses, ledit importateur s’engage à respecter les standards européens en data protection. Elles ont été approuvées par la Commission Européenne (Décision 2010/87/EU du 5 février 2010).
L’affaire
En quelques mots
Les données de Max Schrems sont transférées aux États-Unis par Facebook Ireland Ltd. Il se plaint de n’avoir aucun recours si une agence gouvernementale y accède pour des raisons de surveillance. Facebook soutient que les transferts respectent les engagements des Clauses Contractuelles Types.
Le Data Protection Commissioner (DPC) irlandais – équivalent de la CNIL – reconnaît le problème d’absence de recours. La Haut Cour de Justice irlandaise acquiesce et pose une question préjudicielle à la CJUE, pour garantir l’harmonie de la réponse en Europe. La CJUE doit maintenant évaluer la validité des clauses.
En détail
Les faits
Maximillian Schrems soutient auprès du DPC que Facebook transfère ses données aux États-Unis pour traitement.
Pour ce transfert vers un pays tiers, les États-Unis en l’espèce, ce pays doit disposer de protections des données personnelles d’un niveau équivalent à celui existant dans l’EEE. La Commission Européenne n’a pas reconnu les États-Unis comme disposant d’un niveau de protection adéquat. Les entreprises doivent donc s’appuyer sur d’autres mécanismes pour effectuer ces transferts de données personnelles. Comme par exemple les Clauses Contractuelles Types.
Schrems soutient que ses droits à la protection des données personnelles ne sont pas respectés par Facebook. Pour lui, les CCT ne donnent pas la Data Protection nécessaire, notamment en raison des programmes de surveillance américains. Il demande le respect de ses droits à la vie privée et à la protection de ses données personnelles (articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne). Mais aussi son droit à un recours effectif devant une juridiction (article 47 de la Charte).
Facebook soutient que les transferts de données respectent les Clauses Contractuelles Types, qui ont été validées par la Commission Européenne (Décision 2010/87/EU du 5 février 2010).
La décision
Le DPC estime que Schrems expose des arguments pertinents. Il semble difficile pour un Européen de bénéficier d’un recours effectif aux États-Unis au cas où y sont transférées ses données personnelles. Notamment en cas d’accès à ces données par une agence gouvernementale pour des raisons de sécurité nationale.
Les Clauses Contractuelles Types ne prennent pas en compte ce problème. Elles n’apportent aucun droit à un quelconque recours dans ce cas.
Le DPC s’est donc porté devant la Haute Cour de Justice irlandaise qui a rejeté l’argumentation de Facebook, et pose une question préjudicielle à la CJUE (à l’écriture de ces lignes, la question doit encore être formulée). Il revient donc maintenant à la Cour de Justice de l’Union Européenne d’évaluer la validité des clauses. Pour lire la décision, cliquez-ici (en anglais).
Les conséquences
Dans une déclaration transmise à l’AFP, Facebook a estimé que la CJUE doit maintenant « apprécier l’évidente robustesse des protections mises en place dans le cadre des Clauses contractuelles types et de la loi américaine avant de prendre une décision qui pourrait mettre en danger les transferts de données ».
Cela ne semble pourtant pas évident.
Pour les Clauses Contractuelles Types et le Privacy Shield
En 2016, Annabelle Richard, associée Pinsent Masons, estimait déjà dans une tribune que l’invalidation des Clauses Contractuelles Types « n’est qu’une question de temps. » Quoiqu’il en soit, la réponse de la CJUE n’arrivera pas avant plusieurs mois.
La question des Clauses Contractuelles Types est ici liée à celle du Privacy Shield, le transfert étant à destination des États-Unis. Cependant, la décision n’a pas pour effet d’invalider ni les CCT ni le Privacy Shield, ni de suspendre l’un ou l’autre. Le problème du Privacy Shield est qu’il n’accorde pas toutes les protections contenues dans le GDPR. Une entreprise américaine n’a pas besoin d’être en parfaite conformité GDPR pour transférer des données vers les USA. Mais pour combien de temps ?
Pour les entreprises
Une invalidation brutale des CCT aurait de sérieuses conséquences sur les entreprises américaines et européennes. L’accès au marché d’un côté, et l’accès aux services de l’autre, sont vitaux.
Néanmoins, seuls les fournisseurs de services de communication électroniques américains sont concernés. Ce sont les seules entreprises, dont font partie les fournisseurs de services cloud, soumises aux US surveillance laws, qui posent problème en l’espèce.
La décision de la CJUE devra être étudiée attentivement.
Pour accéder à cette décision, cliquez-ici.
