La CJUE se penchera sur les CCT (merci Schrems !)
Schrems remet ça ! Non content d’avoir contribué à l’annulation de l’accord Safe Harbor en octobre 2015 (voir cet article), une procédure qu’il a initiée en Irlande débouchera à nouveau sur un jugement de la Cour de justice de l’Union européenne (CJUE). Elle sera amenée à déterminer si les données personnelles des Européens peuvent être transférées aux États-Unis au moyen des CCT (clauses contractuelles types).
Les CCT
Pendant de nombreuses années, les USA et l’UE (ainsi que la Suisse) avaient mis en place un mécanisme – le Safe Harbor – permettant aux sociétés américaines de transférer des données de citoyens européens sur des serveurs aux USA. En échange, ces sociétés donnaient des garanties juridiques aux Européens concernant leurs données, puisque les USA ne sont pas considérés comme un pays qui offre des garanties suffisantes en matière de protection des données. En raison de la surveillance par la NSA et de la façon dont les sociétés américaines (mal)traitaient les données personnelles, et considérant par conséquent que les garanties n’étaient plus ou ne pouvaient plus être fournies, la CJUE a annulé le Safe Harbor, car il violait le droit européen de la protection des données.
Facebook (comme d’autres sociétés américaines) s’est alors tourné vers les CCT par lesquelles il s’engage unilatéralement à garantir un niveau de protection conforme à la législation européenne. L’utilisation de ces CCT avait été autorisée par trois décisions de la Commission européenne : 2001/497/CE, 2004/915/CE, 2010/87/UE.
Les USA et l’UE se sont rapidement mis au travail pour remplacer le Safe Harbor par un nouvel accord – le Privacy Shield – censé offrir aux citoyens européens les garanties qui manquaient, comme une plus grande transparence de la part du gouvernement américain. Cependant, pour de nombreuses personnes, dont je fais partie, le Privacy Shield était toujours en violation du droit européen tant que le gouvernement américain ne revoyait pas sa façon de procéder à la surveillance des communications.
Schrems conteste donc que le régime légal américain soit reconnu comme offrant un niveau de protection adéquat. Il a formellement déposé une plainte devant le DPC irlandais, l’équivalent du préposé fédéral helvétique, puisque Facebook a son siège européen en Irlande et qu’il est responsable du traitement des données.
Pour la petite histoire, il a même reçu un coup de pouce bienvenu de la part du Président américain, Donald Trump, qui a décidé en janvier 2017 de supprimer les citoyens non américains des protections offertes par le Privacy Act. Un membre du Parlement européen avait d’ailleurs demandé à la Commission européenne de suspendre immédiatement le Privacy Shield.
Le DPC s’est alors penché sur le régime légal américain concernant la surveillance et sur les trois décisions de la Commission européenne. Considérant que la décision de 2010 et les CCT ne constituent pas une garantie suffisante pour les citoyens européens, il a donc saisi un tribunal pour qu’il demande à la CJUE de trancher cette question, car seule la CJUE a la compétence de déterminer la validité d’une règle instaurée par un organe de l’UE et le DPC ne peut pas la saisir lui-même.
Le renvoi préjudiciel à la CJUE
Dans son jugement, le tribunal irlandais n’a pas encore saisi la CJUE pour lui soumettre des questions à trancher, mais annonce qu’il le fera une fois que les parties auront déterminé quelles questions devront être soumises à la CJUE.
Il relève néanmoins que la cause dont il est saisi concerne une problématique majeure et fondamentale, tant des points de vue des droits fondamentaux que des enjeux économiques et sécuritaires.
The case raises issues of very major, indeed fundamental, concern to millions of people within the European Union and beyond. Firstly, it is relevant to the data protection rights of millions of residents of the European Union. Secondly, it has implications for billions of euros worth of trade between the EU and the US and, potentially, the EU and other non-EU countries. It also has potentially extremely significant implications for the safety and security of residents within the European Union. There is considerable interest in the outcome of these proceedings by any parties having a very real interest in the issues at stake. [p. 3]
Concernant le Privacy Shield et l’instauration d’un ombudsman, le tribunal considère qu’il ne permet pas aux citoyens européens d’obtenir une protection efficace.
In my opinion, despite the number of possible causes of action, it cannot be said that US law provides the right of every person to a judicial remedy for any breach of his data privacy by its intelligence agencies. On the contrary, the individual remedies are few and far between and certainly not complete or comprehensive. [p. 118]
Et de conclure en donnant quelques informations sur les éventuelles questions à poser à la CJUE.
It is certainly arguable that neither the DPC nor the court is required to conduct a comprehensive adequacy analysis of the laws and practices of the United states in relation to electronic surveillance on the grounds of national security, oversight systemic protections and individual remedies in order that they may reach a conclusion that the protection of the data privacy of EU citizens whose data is transferred to the United States for processing does not enjoy the high level of protection which it is guaranteed under Union law. It is arguably legitimate to analyse the remedial regime of a third country to whom the data is transferred for processing in isolation and on the basis of the evidence in relation to individual rights of redress for EU citizens whose data is wrongfully interfered with to concluded that there is a failure to satisfy the essence of the right guaranteed under Article 47 of the Charter as required by Article 52 (1) of the Charter. In the alternative, it is arguable that the limitations on the exercise of the right to an effective remedy before an independent tribunal, as required by Article 47, for EU citizens whose data privacy rights are infringed by the intelligence agencies are not proportionate or necessary or needed to protect the rights and freedoms of others. Neither the introduction of the Privacy Shield Ombudsperson mechanism nor the provisions of Article 4 of the SCC decisions eliminate the well-founded concerns raised by the DPC in relation to the adequacy of the protection afforded to EU data subjects whose personal date is wrongfully interfered with by the intelligence services of the United States once their personal data has been transferred for processing to the United States. [p. 152, mise en évidence ajoutée]
Conclusion
En l’état, le jugement du tribunal n’a aucune incidence sur la situation actuelle : les décisions de la Commission européenne ne sont pas (encore) invalidées, et le Privacy Shield n’est pas non plus menacé. Les CCT peuvent donc continuer à être utilisées. La procédure prendra un certain temps et il est très peu probable que la CJUE tranche avant que le RGPD ne soit applicable, le 28 mai 2018. Mais l’attente pourrait être récompensée, au vu de la précédente décision de la CJUE concernant le Safe Harbor…