UE•USA : La réglementation américaine fédérale relative à l’accès et à l’utilisation par les autorités publiques, des données personnelles transférées depuis l’UE, ne répond pas aux exigences de protection du RGPD/GDPR

CJUE (Grande Chambre), arrêt du 16 juillet 2020 (C‑311/18)

Sur demande de décision préjudicielle introduite par la High Court d’Irlande dans le cadre du litige opposant le Data Protection Commissioner à Facebook Ireland Ltd et à Maximillian Schrems (plainte relative au transfert de ses données à caractère personnel par Facebook Ireland à Facebook Inc. aux États-Unis).

Après le « Safe Harbor »^[1], la CJUE invalide le « Privacy Shield ». Un nouveau revers pour la Commission européenne qui estimait que le mécanisme de transfert de données personnelles de l’UE vers des destinataires établis aux États-Unis offrait un niveau de protection adéquat au sens du RGPD/GDPR[2].

• Relève du champ d’application du RGPD/GDPR un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État.

• Est valide la décision CPT (clauses contractuelles types)[3] de la Commission européenne, qui prévoit des mécanismes effectifs permettant, en pratique, d’assurer que le transfert vers un pays tiers de données à caractère personnel sur le fondement des clauses types de protection des données figurant à l’annexe de cette décision soit suspendu ou interdit lorsque le destinataire du transfert ne respecte pas lesdites clauses ou se trouve dans l’incapacité de les respecter.

• Est invalide la décision BPD (« Privacy Shield »)[4] de la Commission européenne, en raison de l’absence de limitations pour la mise en œuvre des programmes américains de surveillance aux fins du renseignement extérieur, et de garanties pour les personnes non-américaines potentiellement visées par ces programmes.[5]

Voir également (en anglais) > European Data Protection Board, FAQ on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems, adopted on 23 July 2020

[1] CJUE, arrêt du 6 octobre 2015, Schrems (C‑362/14) :  invalidité de la décision 2000/520/CE de la Commission du 26 juillet 2000, conformément à la directive 95/46, relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » (Safe Harbor) et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique, dans laquelle la Commission avait constaté que ce pays tiers assurait un niveau adéquat de protection. S’en était suivi une évaluation de la réglementation des États-Unis et l’adoption par la Commission de la décision BPD (Privacy Shield).

[2] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

[3] Décision 2010/87/UE du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46, telle que modifiée par la décision d’exécution (UE) 2016/2297 du 16 décembre 2016.

[4] Décision d’exécution (UE) 2016/1250 du 12 juillet 2016, conformément à la directive 95/46 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis.

[5] Collecte en vrac de données sans encadrement suffisamment clair et précis ; absence de surveillance judiciaire de l’accès aux données en transit vers les États-Unis ; absence de droits opposables aux autorités américaines devant les tribunaux ; le mécanisme de médiation visé par la décision BPD ne fournit pas de voie de recours devant un organe qui offre des garanties substantiellement équivalentes au RGPD/GDPR, et ne permet pas de pallier les lacunes constatées par la Commission elle-même en ce qui concerne la protection juridictionnelle des personnes dont les données à caractère personnel sont transférées vers les États-Unis.