Contenu

CJUE : le Privacy Shield européen est invalidé, et maintenant, on fait quoi ?

C’est un nouveau tremblement de terre dans le monde la protection des données. Après avoir invalidé le Safe Harbour en 2015, la Cour de justice de l’Union européenne (CJUE) a invalidé son successeur, le Privacy Shield. Ci-dessous, une analyse de l’arrêt C-311/18, qui semble s’apparenter à une victoire à la Pyrrhus, et de ses conséquences pratiques.

Rappel de la raison d’être du Privacy Shield

Mécanisme de transfert de données à l’étranger

En droit de la protection des données, il est illégal de transférer des données personnelles à l’étranger sans mécanisme de transfert ou dérogation. Ceci découle directement de l'art. 6 LPD et des art. 44 et suivants du RGPD. Le transfert subséquent des données du pays étranger vers un autre pays étranger est aussi visé par cette interdiction.

La LPD et le RGPD contiennent de nombreux exemples de mécanismes et dérogations qui, si leurs conditions sont remplies, légitiment le transfert de données personnelles à l’étranger.

L’un de ces mécanismes consiste en une décision d’adéquation prise, pour la Suisse, par le Préposé fédéral à la protection des données et à la transparence (PFPDT) (art. 31 al. 1 let. d LPD et art. 7 OLPD) ou, pour l’Union européenne (UE), par la Commission européenne (art. 45 RGPD). Une telle décision d’adéquation a pour but de constater que le pays étranger en question offre un niveau de protection des données adéquat. Il ne s’agit pas ici de constater qu’un sous-traitant ou un responsable de traitement est conforme à la loi, mais bien d’évaluer un pays étranger sur la base de sa législation interne ou de ses engagements internationaux en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.

Une telle décision d’adéquation est un processus long et complexe qui, selon le RGPD, nécessite d’analyser un grand nombre de critères. L’art. 45 al. 2 RGPD fait notamment référence à l’état de droit, au respect des droits de l’homme et des libertés fondamentales, à l’existence d’une législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès des autorités publiques aux données personnelles. La LPD et l’OLPD ne contiennent pas de liste de critères spécifiques à analyser.

L’avantage principal de la décision d’adéquation est que le transfert de données personnelles vers le pays visé par la décision “ne nécessite pas d’autorisation spécifique”, selon les termes de l’art. 45 al. 1 RGPD. En d’autres termes, le responsable de traitement n’a rien de particulier à faire pour que ce transfert soit possible ; cela ne lui permet pas, évidemment, d’échapper à toutes ses autres obligations (notamment l’information aux personnes concernées).

Un autre instrument permettant de transférer des données personnelles à l’étranger existe : il s’agit des clauses contractuelles types (SCC), prévues en droit suisse à l'art. 6 al. 2 let. a LPD et en droit européen à l'art. 46 al. 2 let. c et d RGPD].

Ces clauses ont été créées par la Commission européenne afin d’être intégrées telles quelles dans un contrat passé entre un responsable de traitement basé dans l’UE et un responsable de traitement ou un sous-traitant basé dans un pays tiers. (Le PFPDT y fait référence sur cette page.)

Historique du Privacy Shield européen

Le Privacy Shield est le nom donné à l’ensemble des accords politiques passés entre l’UE et les Etats-Unis concernant la protection des données personnelles, mais c’est surtout à la décision de la Commission européenne, qui reconnaissait que les Etats-Unis offraient un niveau de protection adéquat, que le Privacy Shield fait référence.

La Suisse a conclu avec les Etats-Unis un Privacy Shield similaire à celui de l’UE, qui est entré en vigueur le 11 janvier 2017. Pour une liste des différences entre les deux versions, consulter cet article.

Suite à l’invalidation en 2015 de son prédécesseur, le Safe Harbour, l’UE et les Etats-Unis ont cherché un nouveau terrain d’entente. Un accord politique a été trouvé en février 2016 et un brouillon de la décision d’adéquation a été publié dans la foulée.

Le G29 (actuel CEPD) et le Contrôleur européen de la protection des données (EDPS) ont ensuite analysé ces documents et publié leurs conclusions, disponibles respectivement ici et .

En résumé, le premier relevait par exemple que l’existence de lacunes relatives à la suppression des données et la collecte massive de données par les autorités américaines étaient problématiques ; quant au second, il déclarait de façon prémonitoire que le Privacy Shield n’était pas assez robuste pour tenir bon en cas de procédure devant la CJUE, et qu’une solution à plus long terme devait être envisagée.

Le 12 juillet 2016, la décision d’adéquation a été acceptée par la Commission européenne et est entrée en vigueur immédiatement.

Faits de la cause et renvoi préjudiciel à la CJUE

Pour un résumé de la situation ayant conduit à ce jugement, je vous renvoie à cet article publié en 2017.

Jugement de la CJUE (résumé)

La procédure devant la CJUE visait non seulement le Privacy Shield européen, mais aussi une autre décision de la Commission européenne qui instaurait des SCC.

Privacy Shield

La CJUE invalide le Privacy Shield européen, qui ne peut donc plus être utilisé comme un mécanisme valable pour transférer des données personnelles de l’UE vers les Etats-Unis. Cette invalidation intervient en raison de l’accès et de l’utilisation (supposés) aux données personnelles de citoyens européens par les autorités américaines. Comme en 2015 où la CJUE citait le programme PRISM, cet accès et cette utilisation ont à nouveau été considérés comme disproportionnés en 2020, et violent donc les droits fondamentaux des citoyens européens.

L’absence de volonté par les autorités américaines de changer leurs pratiques en matière de surveillance a été critiquée par la CJUE. Celle-ci a également relevé que, contrairement à ce que prévoyait le Privacy Shield, le droit américain ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux, ce qu’a reconnu le gouvernement américain.

[…] l’article 702 du FISA ne fait ressortir d’aucune manière l’existence de limitations à l’habilitation qu’il comporte pour la mise en œuvre des programmes de surveillance aux fins du renseignement extérieur, pas plus que l’existence de garanties pour des personnes non-américaines potentiellement visées par ces programmes. […] Dès lors, [le droit américain] n’est pas susceptible d’assurer un niveau de protection substantiellement équivalent à celui résultant de la Charte, contrairement à ce qu’exige l’article 45, paragraphe 2, sous a), du RGPD, selon lequel la constatation de ce niveau dépend, notamment, de l’existence des droits effectifs et opposables dont bénéficient les personnes dont les données ont été transférées vers le pays tiers en cause. […] ni l’article 702 du FISA ni l’E.O. 12333, lus en combinaison avec la PPD-28, ne correspondent aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité, si bien qu’il n’est pas permis de considérer que les programmes de surveillance fondés sur ces dispositions sont limités au strict nécessaire.

Le Privacy Shield est donc non seulement invalidé, mais la CJUE indique aussi implicitement que tant que les Etats-Unis maintiendront leurs programmes de surveillance de masse disproportionnés, une nouvelle décision d’adéquation ne sera pas envisageable.

Clauses contractuelles types (SCC)

Les SCC n’ont pas été invalidées par la CJUE, mais elle indique que

[les clauses contractuelles types reposent] sur la responsabilisation du responsable du traitement ou de son sous-traitant établi dans l’Union ainsi que, à titre subsidiaire, de l’autorité de contrôle compétente. Il appartient, dès lors, avant tout, à ce responsable du traitement ou à son sous-traitant de vérifier, au cas par cas et, le cas échéant, en collaboration avec le destinataire du transfert, si le droit du pays tiers de destination assure une protection appropriée, au regard du droit de l’Union, des données à caractère personnel transférées sur le fondement de clauses types de protection des données, en fournissant, au besoin, des garanties supplémentaires à celles offertes par ces clauses.

À défaut, pour le responsable du traitement ou son sous-traitant établi dans l’Union, de pouvoir prendre des mesures supplémentaires suffisantes pour garantir une telle protection, ceux-ci ou, à titre subsidiaire, l’autorité de contrôle compétente sont tenus de suspendre ou de mettre fin au transfert de données à caractère personnel vers le pays tiers concerné. Tel est notamment le cas lorsque le droit de ce pays tiers impose au destinataire d’un transfert de données à caractère personnel en provenance de l’Union des obligations qui sont contraires auxdites clauses et, partant, de nature à remettre en cause la garantie contractuelle d’un niveau de protection adéquat contre l’accès des autorités publiques dudit pays tiers à ces données.

La CJUE a rappelé les dispositions 5, 6 et 12 des clauses contractuelles types.

Si le destinataire du transfert des données à caractère personnel vers un pays tiers fait savoir au responsable du traitement, au titre de la clause 5, sous b), de l’annexe de la décision CPT, que la législation du pays tiers concerné ne lui permet pas de se conformer aux clauses types de protection des données figurant à cette annexe, il découle de la clause 12 de ladite annexe que les données qui ont déjà été transférées vers ce pays tiers et les copies doivent, dans leur totalité, être restituées ou détruites. En tout état de cause, la clause 6 de la même annexe sanctionne la méconnaissance de ces clauses types en conférant à la personne concernée le droit d’obtenir réparation du préjudice subi.

Réactions politiques

La Commission européenne a tenu une conférence de presse suivant le jugement. Elle a indiqué prendre acte de l’invalidation du Privacy Shield, mais être satisfaite du maintien des SCC, notamment parce que c’est le moyen le plus utilisé pour transférer des données hors de l’EEE. Les clauses sont en phase d’être modernisées avec l’aide du CEPD et des Etats membres.

Le Secrétariat d’Etat américain au commerce a pour sa part déclaré être profondément déçu de ce jugement et espère pouvoir trouver un moyen pour limiter les conséquences négatives que ce jugement pourrait avoir sur les relations économiques entre les Etats-Unis et l’UE (estimées à 7 100 milliards de dollars).

Conséquences pratiques pour l’UE

Tout d’abord, il est crucial de rappeler, entre autres, que ce jugement

  • n’interdit pas tout transfert de données personnelles vers les Etats-Unis ;
  • ne fait qu’invalider la décision d’adéquation européenne envers les Etats-Unis ;
  • n’invalide pas les SCC adoptées par la Commission européenne ;
  • rappelle que l’utilisation de ces clauses n’implique pas que le transfert de données auquel elles s’appliquent est automatiquement licite.

En pratique, ce jugement aura les conséquences suivantes pour les responsables de traitement dans l’UE :

  1. Il leur faudra analyser leurs flux de données personnelles et déterminer lesquels impliquent un transfert vers les Etats-Unis.1
  2. Ensuite, il faudra déterminer quels transferts reposent sur le Privacy Shield.
  3. Un autre mécanisme (ou une dérogation) devra être trouvé rapidement pour les transferts qui reposaient sur le Privacy Shield.2
  4. Si les SCC sont sélectionnées pour légitimer un transfert de données vers un pays tiers ne disposant pas d’une décision d’équivalence (les Etats-Unis ou tout autre pays tiers), les responsables de traitement devront quand même évaluer si ces clauses fournissent les garanties appropriées afin d’être effectivement utilisées.
  5. Ces analyses devront prendre en compte plusieurs critères, notamment ceux mentionnés au considérant 108 du RGPD.3
  6. Les dérogations de l’art. 49 RGPD peuvent être envisagées, p. ex. le consentement (aux conditions strictes de l’art. 7 RGPD et des consid. 32, 33, 42 et 43 RGPD, ce qui s’annonce déjà compliqué et inefficace).

Conséquences pratiques pour la Suisse

Ce jugement ne concerne pas la Suisse et n’a donc aucun effet direct sur celle-ci. Cependant, ce qui s’applique au Privacy Shield européen après l’arrêt de la CJCE devrait également s’appliquer au Privacy Shield suisse. Par conséquent, les entreprises suisses devraient sérieusement et rapidement envisager de suivre les six étapes ci-dessus.

En outre, une dénonciation prochaine du Privacy Shield suisse par le Conseil fédéral est à prévoir. A défaut d’une telle dénonciation, il existe un risque que la Suisse se transforme en un pays où les entreprises européennes transfèrent leurs données personnelles pour être ensuite retransférées vers les Etats-Unis grâce au Privacy Shield suisse ; ce risque serait cependant limité, car la responsabilité des entreprises européennes serait engagée s’il s’avère que les garanties fournies pour le retransfert ne sont pas jugées suffisantes.

La LPD actuelle (tout comme l’actuel projet de nouvelle LPD, encore et toujours aux Chambres fédérales) ne reprend pas les obligations du RGPD et du jugement de la CJUE — certains diront que la LPD est décidément lacunaire. Cependant, il ne faut pas oublier que

  1. la Suisse bénéficie actuellement d’une décision d’adéquation de la part de l’UE et que celle-ci va être revue dans les prochaines semaines ;
  2. une perte de cette adéquation serait problématique pour la place économique suisse 4 et pousserait nos partenaires européens à revoir leurs transferts de données vers notre beau pays ;
  3. de très (très très) nombreuses entreprises suisses ont des partenaires en Europe, transfèrent des données personnelles vers l’Europe (et vice versa), et concluent des contrats qui contiennent des clauses de protection des données ou qui contiennent les SCC de l’UE ;
  4. ces entreprises appliquent donc souvent le RGPD indirectement, par le biais de ces contrats, et seraient potentiellement sujettes aux analyses susmentionnées des responsables de traitement européens ; ces derniers pourraient prendre des mesures si les entreprises suisses ne veulent ou ne peuvent garantir une protection adéquate des données parce qu’elles utilisent des services ou plateformes américaines, ou qu’elles transfèrent des données aux Etats-Unis.

Recommandations générales

Il est compliqué pour des entreprises européennes et suisses de se passer des services numériques de prestataires américains. Pensez simplement à Microsoft et à sa suite Office 365, ou à son cloud Azure. Il est néanmoins possible de prendre quelques mesures pour limiter l’exposition aux risques suite à l’arrêt de la CJUE.

  1. Passez à travers les six étapes mentionnées ci-dessus.
  2. Evitez de stocker ou transférer (même temporairement) des données personnelles aux Etats-Unis.5
  3. Si vous voulez jouer la carte de la sécurité (juridique), n’utilisez pas de services américains.
  4. Exiger de vos sous-traitants européens ou suisses qu’ils vous communiquent l’identité de leurs prestataires afin de déterminer si les données que vous faites traiter sont transférées aux Etats-Unis ou sont traitées par des services américains.

Commentaire

Je suis un peu sonné par ce jugement. Je m’attendais à l’invalidation du Privacy Shield et au maintien des SCC, mais je ne pensais pas que la CJUE viendrait enfoncer le clou avec des obligations pour les responsables de traitement.

Soyons clairs : comment voulez-vous qu’un responsable de traitement européen affirme, droit dans ses bottes et le plus naturellement du monde, qu’il a évalué ses destinataires américains et que ces derniers arriveront sans peine à échapper à la surveillance du gouvernement américain ? Certes, toutes les entreprises américaines ne sont pas concernées par le régime FISA. Mais si une entreprise européenne a un appétit au risque assez limité et qu’elle ne tient pas particulièrement à procéder à des analyses poussées (et couteuses), elle sera peu confortable avec les transferts de données vers des pays qui n’ont pas d’adéquation et qui devront reposer sur des mécanismes comme les SCC.

Aussi, de manière générale, comment peut-on considérer que les mécanismes prévus par le droit de la protection des données (hormis l’adéquation), en particulier les SCC, peuvent continuer à être valables et à être utilisés si le pays vers lequel on souhaite transférer des données n’est pas jugé adéquat ? Quelles garanties supplémentaires un responsable de traitement européen peut-il espérer obtenir en plus de celles figurant dans lesdites clauses ?

En outre, il y a un élément qui est bizarre dans ce jugement. La CJUE invalide le Privacy Shield en raison des pratiques du gouvernement américain. Soit. Elle maintient les SCC. Soit. Elle exige des responsables de traitement qu’ils prennent des mesures afin de garantir les droits des personnes concernées. Là, je coince. Comment un contrat, c.-à-d. un instrument juridique de droit privé, peut-il venir fournir des garanties qui seraient en contradiction avec le droit du pays tiers concerné ? En d’autres termes : pensez-vous que le gouvernement américain va s’abstenir parce qu’une entreprise américaine a pris un engagement contractuel envers une entreprise européenne ? La CJUE fait-elle preuve de naïveté ?

Si l’on revient aux Etats-Unis, la CJUE a indiqué qu’en définitive, ce sera aux autorités européennes de protection des données de suspendre ou d’interdire des transferts opérés via les SCC si elles pensent que ces clauses sont insuffisantes pour garantir les droits des personnes. Au vu du jugement de la CJUE concernant le Privacy Shield, je ne vois pas comment les autorités susmentionnées pourraient laisser continuer des transferts vers les Etats-Unis, sauf à les justifier par les dérogations de l’art. 49 RGPD.

Je crois enfin qu’il ne faut pas attendre des autorités européennes, américaines et suisses une nouvelle décision d’adéquation. Du moins, pas dans un laps de temps qui permet aux responsables de traitement européens et suisses de ne pas prendre de mesures.

Si l’on analyse l’arrêt sous l’angle politicoéconomique, on peut se demander si cet arrêt n’est pas une victoire à la Pyrrhus pour l’UE et la Suisse. C’est tout d’abord une preuve supplémentaire que l’UE et la Suisse ne parviennent pas à protéger efficacement leurs citoyens contre les abus des Etats-Unis : par deux fois les gouvernements ont annoncé que la situation était réglée, puis la justice leur a donné tort.

Ensuite, cet arrêt ne profitera pas forcément aux acteurs européens et suisses du numérique. S’ils n’étaient pas intéressants ou compétitifs jusqu’à maintenant face aux géants américains, il y a peu de chances que cela change. En effet, ces derniers ont les moyens d’avoir une filiale en Europe (généralement en Irlande ou aux Pays-Bas) et des espaces de stockage dans de nombreux pays européens, y compris la Suisse.

Enfin, l’arrêt ne va pas régler certains problèmes qui existent depuis des années : les économies européenne et suisse sont complètement dépendantes des services et technologies américains ; le cadre règlementaire s’alourdit en Europe, avec les couts de “compliance” que cela engendre ; les entreprises et gouvernements ont peur des risques ; la numérisation est loin d’être aussi avancée chez nous que de l’autre côté de l’Atlantique ; il y a un manque cruel de culture numérique en Europe et en Suisse, ce qui favorise des effets négatifs pour les citoyens et la sécurité de leurs données.


  1. C’est dans ce genre de situations qu’on constate qu’avoir un registre des traitements à jour, comme l’exige la règlementation, et une gestion efficace des prestataires externes et des contrats rend un énorme service. ↩︎

  2. Le département américain du commerce a indiqué que les engagements déjà pris par les entreprises américaines pour respecter le Privacy Shield restent en vigueur. ↩︎

  3. En voici un extrait : “Ces garanties devraient assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union, y compris l’existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d’engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l’Union ou dans un pays tiers. Ces garanties devraient porter, en particulier, sur le respect des principes généraux concernant le traitement des données à caractère personnel et des principes de protection des données dès la conception et de protection des données par défaut.↩︎

  4. Il ne faut pas oublier que si la CJUE a épinglé les Etats-Unis pour leurs pratiques en matière de surveillance de masse, la Suisse pourrait elle aussi être concernée. Suite à l’entrée en vigueur de la loi fédérale sur le renseignement (LRens, dont j’avais parlé ici), la Commission européenne pourrait considérer que toute personne est sujette à une surveillance sans qu’elle ne puisse bénéficier d’actions judiciaires visant à contester ou corriger cette situation. ↩︎

  5. La question de savoir si le stockage des données personnelles en Europe ou en Suisse est suffisant lorsque le service est américain n’a pas été tranchée. ↩︎