La lettre juridique n°838 du 1 octobre 2020 : Données personnelles

[Jurisprudence] Invalidation du Privacy Shield par la CJUE et les grands défis de « Schrems II »

Réf. : CJUE, 16 juillet 2020, aff. C-311/18 (N° Lexbase : A26443RD)

Lecture: 23 min

N4708BYZ

Citer l'article

Créer un lien vers ce contenu

[Jurisprudence] Invalidation du Privacy Shield par la CJUE et les grands défis de « Schrems II ». Lire en ligne : https://www.lexbase.fr/article-juridique/60632946-jurisprudence-invalidation-du-i-privacy-shield-i-par-la-cjue-et-les-grands-defis-de-schrems-ii
Copier

par Julie Martinez, Avocate au Barreau de Paris

le 30 Septembre 2020

 


Mots-clés : Règlement général sur la protection des données • traitement transfrontalier • Privacy Shield Safe Harbor • contrat • niveau de protection adéquat • transferts de données • clauses contractuelles types

Par un arrêt rendu le 16 juillet 2020, la Cour de justice de l'Union européenne (CJUE) invalide le Privacy Shield, un accord conclu entre la Commission européenne et les États-Unis qui permettait aux organisations américaines certifiées de transférer les données à caractère personnel de ressortissants de l'Union européenne vers les États-Unis. 


 

Par un arrêt rendu le 16 juillet 2020, la CJUE invalide le Privacy Shield [1], un accord conclu entre la Commission européenne et les États-Unis qui permettait aux organisations américaines certifiées de transférer les données à caractère personnel de ressortissants de l'Union européenne vers les États-Unis. Le Privacy Shield connait ainsi le même sort que son prédécesseur, le fameux Safe Harbor [2]. Si les conclusions de l'arrêt « Schrems II » ne sont pas inattendues, l'invalidation de deux décisions de la Commission européenne sur l'adéquation des transferts de données aux États-Unis (dans les affaires « Schrems I » et « Schrems II ») dans un délai de cinq ans, interroge les propos de l'ancien commissaire européen à la protection des données. Peter Hustinx déclarait en effet en 2014 que les règles de l'Union européenne en matière de transferts de données « se fondent sur un degré de pragmatisme raisonnable afin de permettre une interaction avec le reste du monde ». [3] Certes, et comme le rappelle la CJUE, cette invalidation n'est pas susceptible de créer un vide juridique dans la mesure où il existe d'autres mécanismes pour transférer des données vers des pays tiers, à l'instar des clauses contractuelles types. Cette annulation soulève cependant de nombreuses questions pratiques dans le cadre de transferts globaux.

Cet article a pour objet d’analyser l'arrêt de la CJUE, désormais connu sous le nom de « Schrems II », en trois parties. La première vise à fournir un bref rappel des développements ayant conduit à l'invalidation du Privacy Shield. La deuxième revient sur les principaux apports de cet arrêt récent avant d'explorer, dans une troisième partie, les grands défis soulevés par celui-ci.

1. Du Safe Harbor au Privacy Shield

L'analyse de l'arrêt « Schrems II » appelle un bref rappel historique sur les sources de l'arrêt « Schrems I » et de l'invalidation du fameux Safe Harbor.

En vertu de la Charte des droits fondamentaux de l'Union européenne (N° Lexbase : L0230LGM), tout citoyen de l'Union a droit à la protection des données à caractère personnel le concernant. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base de son consentement ou en vertu d'un autre fondement légitime prévu par la loi. [4] Avant l'entrée en vigueur du Règlement général sur la protection des données (RGPD) [5], la Directive de 1995 [6] précisait déjà ce droit en prévoyant, entre autres mesures, des garanties adéquates pour protéger les transferts de données personnelles des citoyens de l'Union européenne vers un État tiers. Cette exigence est aujourd'hui précisée par le RGPD, dont les articles 44 à 49 listent une série de garanties appropriées. Les décisions d'adéquation et les clauses contractuelles types adoptées par la Commission européenne – également objets de l’arrêt « Schrems II » – font partie de ces garanties au titre du RGPD. Concernant plus précisément les transferts de données à caractère personnel de ressortissants européens vers les États-Unis, le Safe Harbor –  conclu le 26 juillet 2000 entre le gouvernement américain et l'Union européenne – visait à assurer le « niveau de protection adéquate » susmentionné. S'il est vrai que le Safe Harbor avait subi dès son entrée en vigueur de nombreuses critiques, les révélations d’Edward Snowden, dévoilant au grand public une série de documents confidentiels relatifs à une surveillance de masse exercée par le gouvernement américain, ont remis en question son existence même.

C'est en 2013 que Maximilian Schrems, jeune activiste autrichien, se saisit de la question de la validité du Safe Harbor et la conteste dans un litige l'opposant à Facebook. Maximilian Schrems demandait en substance à la Commission irlandaise de protection des données d'interdire à Facebook le transfert de ses données à caractère personnel vers les États-Unis, en faisant valoir que le droit et les pratiques en vigueur dans ce pays ne garantissaient pas une protection suffisante contre les activités de surveillance qui y étaient pratiquées par les autorités publiques. Cette plainte ayant été rejetée, l'affaire fut portée devant la Haute cour irlandaise qui renvoya, à son tour, l'affaire devant la CJUE. Après avoir examiné l'adéquation des principes du Safe Harbour à la lumière des révélations d'Edouard Snowden, la CJUE invalida le Safe Harbor en 2015 dans le retentissant arrêt « Schrems I ». [7] Malgré cette invalidation, il convient de préciser que les responsables du traitement américains pouvaient toujours se reposer sur les clauses contractuelles types de la Commission européenne pour leurs transferts de données, ce que fit par exemple Facebook à la suite de la décision « Schrems I ». Or, l'activiste Maximilian Schrems reprochait également aux clauses contractuelles types leur manquement au droit européen au regard des écoutes et actes de surveillance massifs des autorités américaines.

À la suite de l'invalidation du Safe Harbor, la Commission européenne et le gouvernement américain se sont à nouveau réunis afin d'élaborer en quelques mois un cadre alternatif visant à offrir un niveau adéquat de protection des transferts de données vers les États-Unis. C'est donc à la hâte qu’a été conclu le très controversé Privacy Shield visant à maintenir au plus vite les accords commerciaux tout en se conformant aux exigences de la CJUE. [8]

En 2015, Maximilian Schrems contesta une nouvelle fois les transferts de données à caractère personnel de ressortissants européens par Facebook vers les États-Unis, en l'occurrence sur le fondement des clauses contractuelles types, au motif qu'elles ne protégeaient pas suffisamment les droits des personnes concernées basées dans l'Union européenne. L'affaire est renvoyée devant la Haute cour irlandaise qui saisit à nouveau la CJUE en 2018 de plusieurs questions préjudicielles. Les questions soumises à la CJUE portaient sur (i) l'interprétation et la validité de la décision de la Commission européenne relative aux clauses contractuelles types [9] pour le transfert de données personnelles vers des sous-traitants établis dans des pays tiers, telle que modifiée le 16 décembre 2016 ; et sur (ii) l'interprétation et la validité de la décision d'exécution 2016/1250 de la Commission européenne du 12 juillet 2016, relative à l'adéquation de la protection assurée par le Privacy Shield

2. Apports de « Schrems II » : invalidation du Privacy Shield et validité des clauses contractuelles types sous certaines réserves

Sur le sujet des clauses contractuelles types, la CJUE n’a pas identifié d’éléments de nature à affecter la validité de la décision 2010/87/UE de la Commission européenne relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers. La Cour émet cependant des réserves suivant sa logique – renforcée depuis l'entrée en vigueur du RGPD – de responsabilisation des entités en charge du traitement de données.

Ces réserves sont de plusieurs ordres. D'une part, la CJUE note que dans les cas où les clauses contractuelles types constituent la base du transfert de données dans un pays tiers, le niveau de protection des données d'un citoyen de l'Union européenne dans ce pays tiers doit être substantiellement équivalent au niveau de protection garanti par le RGPD. D'autre part, la CJUE précise que l’évaluation du niveau de protection assuré lors d’un tel transfert doit notamment prendre en considération tant (i) les stipulations contractuelles convenues entre le responsable du traitement (ou son sous-traitant établis dans l’Union) et le destinataire du transfert établi dans le pays tiers concerné, que (ii) les éléments pertinents du système juridique du pays tiers, en ce qui concerne un éventuel accès des autorités publiques de ce pays aux données à caractère personnel ainsi transférées. Cette dernière considération vise à garantir que le critère d'équivalence substantielle susmentionné soit correctement respecté. Pour déterminer l'équivalence substantielle, les garanties appropriées, les droits opposables et les voies de droit effectives du pays tiers doivent être pris en considération. [10]

Par ailleurs, la CJUE affirme que c'est au responsable du traitement ou au sous-traitant qu'il incombe de prévoir, dans le cadre des clauses contractuelles types, des garanties appropriées. Lorsque le caractère adéquat du niveau de protection des données dans un pays tiers n'est pas assuré, c'est au responsable du traitement ou, le cas échéant, à son sous-traitant, qu'il revient de prendre des mesures supplémentaires pour compenser l’insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée. Dès lors, il appartient au préalable à ce responsable du traitement ou à son sous-traitant de vérifier, au cas par cas et, le cas échéant, en collaboration avec le destinataire du transfert, si le droit du pays tiers de destination assure une protection appropriée, au regard du droit de l’Union, des données à caractère personnel transférées sur le fondement de clauses contractuelles types de protection des données, en fournissant, au besoin, des garanties supplémentaires à celles offertes par ces clauses. La nature et le contenu de ces garanties supplémentaires font l'objet d'une analyse à la fin de ce commentaire.

Pour finir, la CJUE précise qu'à défaut, pour le responsable du traitement ou son sous-traitant établis dans l’Union européenne, de pouvoir prendre des mesures supplémentaires suffisantes pour garantir une telle protection, ceux-ci ou, à titre subsidiaire, l’autorité de contrôle compétente, sont tenus de suspendre ou de mettre fin au transfert de données à caractère personnel vers le pays tiers concerné.

En ce qui concerne la seconde question relative à l'adéquation de la protection assurée par le Privacy Shield des données UE - États-Unis, la CJUE décide d’invalider la décision d'exécution de la Commission du 12 juillet 2016.

Afin de pouvoir constater que le Privacy Shield assure bien un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne par le RGPD, la CJUE examine si les programmes de surveillance américains sont mis en œuvre dans le respect de telles exigences, sous réserve, bien entendu, du critère de proportionnalité. En effet, bien que les États-Unis se soient engagés à ce que les organisations « auto-certifiées Privacy Shield » assurent un niveau de protection adéquat, le Privacy Shield prévoit lui-même une limitation de cette protection. Le point I.5 de son annexe II [11], dispose en effet que l’adhésion à ses principes peut être limitée par, notamment, « les exigences relatives à la sécurité nationale, [à] l’intérêt public et [au] respect de la législation ». Reprenant son argumentation exprimée dans l'arrêt « Schrems I », la CJUE rappelle ainsi qu'eu égard à son caractère général, la dérogation figurant au point I.5 de l’annexe II du Privacy Shield rend possible, sur le fondement d’exigences relatives à la sécurité nationale et à l’intérêt public ou sur la législation interne des États-Unis, une ingérence dans les droits fondamentaux des personnes dont les données à caractère personnel sont ou pourraient être transférées depuis l’Union vers les États-Unis. [12]

Les ingérences des autorités américaines portant nécessairement atteinte aux articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne relatifs respectivement au droit au respect de sa vie privée et au droit à la protection des données à caractère personnel la concernant [13], la CJUE apprécie si les limitations de ces droits sont bien proportionnées, nécessaires et prévues par la loi, en tenant compte des droits effectifs et opposables dont bénéficient les personnes concernées. À l’issue de ce triple contrôle, la CJUE estime que les limitations à la protection des données à caractère personnel découlant des lois américaines ne satisfont pas à l'exigence d'un niveau de protection substantiellement équivalent [14]. Pour arriver à cette conclusion, la CJUE estime tout d'abord que l’article 702 du Foreign Intelligence Surveillance Act (FISA) ne fait ressortir d’aucune manière l’existence de limitations à l’habilitation qu’il comporte pour la mise en œuvre de programmes de surveillance aux fins du renseignement extérieur, pas plus que l’existence de garanties pour des personnes non-américaines potentiellement visées par ces programmes dont les droits ne sont pas opposables aux autorités américaines. [15] Par ailleurs, s’agissant des programmes de surveillance américains fondés sur l’E.O. 12333, la CJUE estime que ce décret ne confère pas non plus aux étrangers ciblés de droits opposables aux autorités américaines. [16] Dès lors, ni l’article 702 du FISA, ni l’E.O. 12333, lus en combinaison avec la PPD-28 (qui permet de procéder à une collecte « en vrac » d’un volume relativement important d’informations ou de données issues du renseignement), ne correspondent aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité, si bien que la CJUE affirme qu'il n’est pas permis de considérer que les programmes de surveillance fondés sur ces dispositions soient limités au strict nécessaire. Pour l’ensemble de ces raisons, la CJUE juge que les textes américains contreviennent tant à l'article 52 de la Charte des droits fondamentaux qu'à son article 47.

Tirant les conséquences de cette constatation, la CJUE juge que l'article 1er du Privacy Shield est incompatible avec les exigences d'adéquation posées à l'article 45 du RGPD lu à la lumière de la Charte des droits fondamentaux de l'Union européenne, et qu’il est de ce fait invalide. L’article 1er de la décision « Privacy Shield » étant indissociable des articles 2 à 6 ainsi que des annexes de celle-ci, son invalidité a pour effet d’affecter la validité de cette décision dans son ensemble : le Privacy Shield est par conséquent invalidé dans son ensemble.

Si la CJUE prend le soin de préciser dans son arrêt que l’annulation d’une décision d’adéquation telle que la décision « Privacy Shield » n’est pas susceptible de créer un vide juridique dans la mesure où il existe d'autres mécanismes juridiques pour transférer des données vers des pays tiers, à l'instar des clauses contractuelles types, cette annulation soulève de nombreuses questions pratiques, auxquelles les organisations sont confrontées pour la seconde fois en cinq ans.

3. Les grands défis post-Schrems II  

En théorie, la CJUE reste fidèle à ses positions. Comme le fait très justement remarquer le professeur Christopher Kuner, « les conclusions de l'arrêt "Schrems II" ne sont pas inattendues ». [17] En effet, la jurisprudence adoptée par la CJUE au cours des dernières années affiche une position très forte en faveur de la protection des données, quelles qu'en soient les conséquences pratiques : outre l'arrêt « Schrems I », on peut penser à l'arrêt « Digital Rights Ireland » [18] de 2014, les arrêts « Tele2 Sverige contre Tom Watson et autres » [19] de 2016… Dans ce contexte, « Schrems II » représente « une continuation de l'approche de la Cour en matière de réglementation des transferts internationaux de données plutôt qu'un changement radical de cette approche » [20]. L'arrêt « Schrems II » s'inscrit ainsi dans une continuité constitutionnelle forte de protection des transferts de données personnelles européennes, y compris contre l'accès des gouvernements de pays tiers à ces données.

À certains égards, « Schrems II » va même bien au-delà de « Schrems I ». Il complète en effet le régime théorique de protection des transferts de données d'une manière qui permettrait d'éviter un nouveau contournement des normes du RGPD et insiste sur la responsabilisation des acteurs en charge de ces transferts. Au-delà d'une simple invalidation, la CJUE insiste avant tout sur le fait que toutes les parties prenantes doivent veiller à ce que les mêmes normes de protection des données à caractère personnel européennes s'appliquent aux transferts effectués par d'autres moyens juridiques, à commencer par les clauses contractuelles types. [21] En effet, « Schrems II » rappelle aux organisations que les clauses contractuelles types sont soumises aux mêmes normes de protection que les autres moyens de transferts. Les clauses contractuelles types ne peuvent pas se suffire à elles-mêmes, les responsables du traitement des données, sous le contrôle des autorités de protection des données, doivent assurer leur efficacité dans les faits.

Aussi cohérent et protecteur que cet arrêt soit en théorie, il soulève en pratique certaines incertitudes. Il a également de nombreuses conséquences pour les organisations, requérant une nouvelle fois de ces dernières une flexibilité relevant parfois du grand écart.

D'une part, le calendrier est incertain pour les presque 5 400 organisations qui ne peuvent plus, à ce jour, se fonder sur le Privacy Shield pour transférer des données personnelles de l'Union européenne vers les États-Unis. Si lors de l'arrêt « Schrems I », certaines Autorités de Protection des Données européennes avaient prévu une période salvatrice de transition, il n'est pas certain qu'un tel « délai de grâce » puisse être accordé en vertu du nouveau RGPD et sous l'empire de cet arrêt. Au paragraphe 202, la CJUE considère en effet qu'il n'est pas nécessaire de maintenir les effets du Privacy Shield aux fins d’éviter la création d’un vide juridique car, en tout état de cause, les dérogations prévues à l'article 49 du RGPD peuvent être utilisées pour les transferts de données nécessaires vers les États-Unis. Par ailleurs, le Comité européen de la protection des données (CEPD) n'a pas mentionné une telle possibilité dans ses premières communications sur « Schrems II ». En conséquence, à moins que le CEPD ou, localement, les Autorités de Protection des Données ne prennent position sur un délai de grâce, presque 5 400 entreprises doivent très rapidement recourir à d'autres garanties pour leurs transferts de données vers les États-Unis. Pour finir, cette seconde invalidation d'une décision d'adéquation de la Commission en moins de cinq ans a une signification juridique et politique importante qui semble exclure la répétition d’une stratégie de « solution rapide » telle que celle déployée après l'invalidation du Safe Harbor. Il est désormais attendu de la Commission européenne qu'elle traite de façon structurelle les principales questions soulevées par la CJUE afin de conclure un accord UE-États-Unis de longue durée, offrant une base juridique valable et une sécurité juridique pour les années à venir. Cela n'est pas sans difficultés puisque les autorités américaines ont déjà fait savoir qu'il n'est ni « souhaitable ni possible » d'envisager une refonte des pouvoirs de surveillance à court terme [22].

D'autre part, cet arrêt soulève de nombreuses incertitudes juridiques relatives aux autres décisions d'adéquation. Les apports de cet arrêt vont en effet très certainement compliquer l'adoption d'une décision d'adéquation entre l'Union européenne et le Royaume-Uni post-Brexit au regard des pouvoirs de surveillance élevés dont dispose le gouvernement britannique. La Commission européenne a également adopté des décisions d'adéquation avec Israël, le Canada, l'Argentine, le Japon ou bien encore la Nouvelle-Zélande. Les révisions périodiques de la Commission européennes ou d’éventuels recours devant la CJUE pourraient remettre en cause ces décisions d'adéquation, en particulier avec Israël – pays connu pour exercer également une surveillance extensive à des fins de sécurité nationale.

Pour finir, l'arrêt soulève de nombreuses incertitudes pratiques relatives au recours aux clauses contractuelles types pour les organisations signataires. Se pose en effet la question de savoir si les organisations ayant recours aux clauses contractuelles types peuvent toujours passer par ces dernières pour transférer leurs données vers les États-Unis. Ce mécanisme semble ébranlé par les conclusions de la CJUE dans l'arrêt « Schrems II ». Toutefois, sa validité pourrait être maintenue si l'on s'attarde sur le concept des garanties supplémentaires mis en avant par la CJUE. La CJUE évoque en effet la possibilité pour l'exportateur des données, même dans l'hypothèse où la législation du pays de l'importateur n'offrirait pas un niveau de protection « adéquat » et « équivalent », de transférer tout de même des données vers ce pays s’il fournit des garanties supplémentaires [23] ou des mesures supplémentaires [24] à celles offertes par ces clauses. Qu'elles soient techniques (protocoles de cryptage puissants par exemple) ou juridiques, cette référence aux garanties supplémentaires peut laisser perplexe en l'absence de plus amples informations fournies par la CJUE. Le CEPD lui-même analyse actuellement l'arrêt de la CJUE afin de déterminer le type de mesures complémentaires qui pourraient être fournies en sus des clauses contractuelles types, qu'il s'agisse de mesures juridiques, techniques ou organisationnelles, pour transférer des données vers des pays tiers où les clauses contractuelles types (ou les Règles d'Entreprise Contraignantes - ou BCR) ne fourniront pas à elles seules le niveau de garanties suffisant.

À ce jour, seule l'Autorité de protection des données du Bade-Wurtemberg [25] s'est prononcée sur le sujet en proposant la modification des clauses contractuelles types actuelles. L'Autorité du Bade-Wurtemberg propose ainsi par exemple d'ajouter une obligation pour l'importateur de données de contester toute demande d'accès par des autorités publiques [aux données transférées] devant un tribunal et de ne pas fournir les données à l'autorité en question jusqu'à ce qu'un jugement final ordonnant la divulgation ait été rendu. L'Autorité de Bade-Wurtemberg ne précise pas si ces changements seront soumis à une validation préalable par l'Autorité.

Ainsi, tout en conservant les clauses contractuelles types, la CJUE a entendu rendre les responsables du traitement des données plus responsables de leurs actions lorsque la législation du pays d'importation permet l'accès à des données allant au-delà des normes permises dans l'Union européenne. Si ces exigences ne sont pas nouvelles, elles requièrent des organisations – afin d'amender ou non leurs clauses contractuelles types – qu'elles développent une expertise du droit des pays tiers d'une manière qui dépasse probablement les capacités de nombre d'entre elles.

4. Conclusion

Au-delà de la retentissante invalidation du Privacy Shield, l'arrêt « Schrems II » est également riche en interrogations concernant les clauses contractuelles types. En effet, si les conclusions de l'arrêt « Schrems II » ne sont pas inattendues et constituent un jalon supplémentaire dans la réglementation européenne sur les transferts de données, elles soulèvent également un certain nombre de questions importantes pour les organisations concernées, pour lesquelles l'évaluation au cas par cas des lois des pays étrangers sera vraisemblablement une opération particulièrement difficile. Au-delà des considérations diplomatiques, politiques et économiques, cette « privatisation » des évaluations d'adéquation sera sans aucun doute périlleuse pour les organisations concernées, a fortiori après que la Commission européenne elle-même, avec son expertise et ses ressources, ait été forcée à deux reprises de revoir sa copie.


[1] Décision d'exécution (UE) 2016/1250 de la Commission européenne, 12 juillet 2016, conformément à la Directive 95/46/CE du Parlement européen et du Conseil relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (N° Lexbase : L5534K9T).

[2] Décision 2000/520/CE, 26 juillet 2000 [en ligne].

[3] Le droit de l’Union européenne sur la protection des données : la révision de la directive 95/46/CE et la proposition de règlement général sur la protection des données, Peter Hustinx, 31 mai 2014.

[4] Charte des droits fondamentaux de l'Union européenne, art. 8.

[5] Règlement (UE) n° 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (N° Lexbase : L0189K8I) (Règlement général sur la protection des données).

[6] Directive n° 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (N° Lexbase : L8240AUQ).

[7] CJUE, 6 octobre 2015, aff. C-362/14 (N° Lexbase : A7248NSA).

[8] C. Crichton, Transfert de données vers les USA: l'arrêt Schrems II, Dalloz actualité, 22 juillet 2020.

[9] Décision 2010/87/UE de la Commission européenne du 5 février 2010, modifiée par la décision d'exécution UE 2016/2297 de la Commission européenne du16 décembre 2016 (N° Lexbase : L8226LBB).

[10] Note 1, § 104 -105.

[11] intitulée « Principes du cadre “bouclier de protection des données [Union européenne] - États-Unis” ».

[12] Note 1, § 165.

[13] Note 1, § 169 - 171.

[14] Note 1, § 184

[15] Note 1, § 178 - 181

[16] Note 1, § 182

[17]  Ch. Kuner,The Schrems II judgment of the Court of Justice and the future of data transfer regulation, European Law Blog, 17 juillet 2020 [en ligne].

[18] CJUE, 8 avril 2014, aff. C-293/12 (N° Lexbase : A7603MIG).

[19] CJUE, 21 décembre 2016, aff. C-203/15 (N° Lexbase : A7089SXT).

[20] Ch Kuner, préc. note 17.

[21] After Schrems II: Uncertainties on the legal basis for data transfers and constitutional implications for Europe, de Theodore Christakis, 21 juillet 2020.

[22] V. Manancourt, EU’s rejection of US surveillance also tests its commitment to privacy, Politico, 19 juillet 2020 [en ligne].

[23] Note 1, § 134.

[24] Note 1, § 135.

[25] Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?, Autorité de Protection des Données du Bade-Wurtemberg, 25 août 2020.

newsid:474708