La lettre juridique n°833 du 23 juillet 2020 : Données personnelles

[Brèves] La CJUE invalide l'accord sur le transfert de données personnelles entre l’UE et les États-Unis

Réf. : CJUE, 16 juillet 2020, aff. C-311/18 (N° Lexbase : A26443RD)

Lecture: 9 min

N4163BYT

Citer l'article

Créer un lien vers ce contenu

[Brèves] La CJUE invalide l'accord sur le transfert de données personnelles entre l’UE et les États-Unis. Lire en ligne : https://www.lexbase.fr/article-juridique/59252071-breveslacjueinvalidelaccordsurletransfertdedonneespersonnellesentrelueetlesetatsunis
Copier

par Marie-Lou Hardouin-Ayrinhac

le 22 Juillet 2020

► Par son arrêt du 16 juillet 2020, la CJUE invalide la décision 2016/1250, relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (N° Lexbase : L5534K9T) ;

En revanche, elle juge que la décision 2010/87 de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers est valide.

Résumé des faits. Un ressortissant autrichien a déposé une plainte auprès de l’autorité irlandaise de contrôle, visant, en substance, à faire interdire les transferts de données à caractère personnel par Facebook Ireland vers des serveurs appartenant à Facebook Inc., situés sur le territoire des États-Unis, où elles font l’objet d’un traitement. Il a soutenu que le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre l’accès, par les autorités publiques, aux données transférées vers ce pays. Cette plainte a été rejetée, au motif notamment que, dans sa décision 2000/520, la Commission avait constaté que les États-Unis assuraient un niveau adéquat de protection. Par un arrêt rendu le 6 octobre 2015, la Cour, saisie d’une question préjudicielle posée par la High Court (Haute Cour, Irlande), a jugé cette décision invalide (CJUE, 6 octobre 2015, aff. C-362/14 N° Lexbase : A7248NSA). L’autorité de contrôle irlandaise a invité le requérant à reformuler sa plainte compte tenu de l’invalidation, par la Cour, de la décision 2000/520. Dans sa plainte reformulée, il maintient que les États-Unis n’offrent pas de protection suffisante des données transférées vers ce pays. Il demande de suspendre ou d’interdire, pour l’avenir, les transferts de ses données à caractère personnel depuis l’Union vers les États-Unis, que Facebook Ireland réalise désormais sur le fondement des clauses types de protection figurant à l’annexe de la décision 2010/87. Estimant que le traitement de cette plainte dépend, notamment, de la validité de la décision 2010/87, l’autorité de contrôle irlandaise a initié une procédure devant la High Court aux fins que celle-ci soumette à la Cour une demande de décision préjudicielle. Après l’ouverture de cette procédure, la Commission a adopté la décision (UE) 2016/1250, relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis.

Renvoi préjudiciel. Par sa demande de décision préjudicielle, la juridiction de renvoi interroge la Cour sur l’applicabilité du « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) à des transferts de données à caractère personnel fondés sur des clauses types de protection figurant dans la décision 2010/87, sur le niveau de protection requis par ce règlement dans le cadre d’un tel transfert et sur les obligations incombant aux autorités de contrôle dans ce contexte. En outre, la High Court soulève la question de la validité tant de la décision 2010/87 que de la décision 2016/1250.

Réponse. Par son arrêt du 16 juillet 2020, la Cour constate que l’examen de la décision 2010/87 au regard de la Charte des droits fondamentaux de l’Union européenne ne révèle aucun élément de nature à affecter sa validité. En revanche, elle déclare la décision 2016/1250 invalide.

L’applicabilité du « RGPD » à des transferts de données à caractère personnel fondés sur des clauses types de protection figurant dans la décision 2010/87. La Cour estime que le droit de l’Union, et notamment le « RGPD », s’applique à un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, même si, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté de l’État par les autorités du pays tiers concerné. Elle précise que ce type de traitement de données par les autorités d’un pays tiers ne saurait exclure un tel transfert du champ d’application du « RGPD ».

Le niveau de protection requis par le « RGPD » dans le cadre d’un tel transfert. La Cour juge que les exigences prévues à cet effet par les dispositions du « RGPD », qui ont trait à des garanties appropriées, des droits opposables et des voies de droit effectives, doivent être interprétées en ce sens que les personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données doivent bénéficier d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par ce Règlement, lu à la lumière de la Charte des droits fondamentaux de l’Union européenne. Dans ce contexte, elle précise que l’évaluation de ce niveau de protection doit prendre en compte tant les stipulations contractuelles convenues entre l’exportateur des données établi dans l’Union et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données ainsi transférées, les éléments pertinents du système juridique de celui-ci.

Les obligations incombant aux autorités de contrôle dans le contexte d’un tel transfert. La Cour juge que, à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission, ces autorités sont notamment obligées de suspendre ou d’interdire un transfert de données à caractère personnel vers un pays tiers lorsqu’elles estiment, au regard des circonstances propres à ce transfert, que les clauses types de protection des données ne sont pas ou ne peuvent pas être respectées dans ce pays et que la protection des données transférées, requise par le droit de l’Union, ne peut pas être assurée par d’autres moyens, à défaut pour l’exportateur établi dans l’Union d’avoir lui-même suspendu ou mis fin à un tel transfert.

Validité de la décision 2010/87 de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers. Selon la Cour, la validité de cette décision n’est pas remise en cause par le seul fait que les clauses types de protection des données figurant dans celle-ci ne lient pas, en raison de leur caractère contractuel, les autorités du pays tiers vers lequel un transfert des données pourrait être opéré. En revanche, précise-t-elle, cette validité dépend du point de savoir si ladite décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer. La Cour constate que la décision 2010/87 met en place de tels mécanismes. À cet égard, elle souligne, notamment, que cette décision instaure une obligation pour l’exportateur des donnés et le destinataire du transfert de vérifier, au préalable, que ce niveau de protection est respecté dans le pays tiers concerné et qu’elle oblige ce destinataire à informer l’exportateur des données de son éventuelle incapacité de se conformer aux clauses types de protection, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu avec le premier.

Invalidité de la décision 2016/1250 relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis. La Cour procède à l’examen de la validité de la décision 2016/1250 au regard des exigences découlant du « RGPD », lu à la lumière des dispositions de la Charte des droits fondamentaux de l’Union européenne garantissant le respect de la vie privée et familiale, la protection des données à caractère personnel et le droit à une protection juridictionnelle effective. À cet égard, la Cour relève que cette décision consacre, à l’instar de la décision 2000/520, la primauté des exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation américaine, rendant ainsi possibles des ingérences dans les droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers. Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, et que la Commission a évaluées dans la décision 2016/1250, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire. En se fondant sur les constatations figurant dans cette décision, la Cour relève que, pour certains programmes de surveillance, ladite réglementation ne fait ressortir d’aucune manière l’existence de limitations à l’habilitation qu’elle comporte pour la mise en œuvre de ces programmes, pas plus que l’existence de garanties pour des personnes non américaines potentiellement visées. La Cour ajoute que, si la même réglementation prévoit des exigences que les autorités américaines doivent respecter, lors de la mise en œuvre des programmes de surveillance concernés, elle ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux.

Quant à l’exigence de protection juridictionnelle, la Cour juge que, contrairement à ce que la Commission a considéré dans la décision 2016/1250, le mécanisme de médiation visé par cette décision ne fournit pas à ces personnes une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union, de nature à assurer tant l’indépendance du médiateur prévu par ce mécanisme que l’existence de normes habilitant ledit médiateur à adopter des décisions contraignantes à l’égard des services de renseignement américains.

Pour toutes ces raisons, la Cour déclare la décision 2016/1250 invalide.

newsid:474163