27/08/20
Actualité Juridique par Me Richard Rondoux

 

Par cette décision du 16 juillet 2020, dans un litige opposant Maximilian Schrems à Facebook concernant le transfert de données personnelles de l’Union Européenne vers les États-Unis, la Cour de Justice de L’Union Européenne (CJUE) valide les clauses contractuelles types adoptées par la Commission Européenne (I) tout en invalidant le Privacy Shield, un accord conclu en 2016 entre l’Union Européenne et les États-Unis (II).

 

I) Validation des clauses contractuelles types adoptées par la Commission Européenne

Les articles 44 à 50 du règlement général sur la protection des données (RGPD), entré en vigueur le 27 avril 2016, prévoient qu’un transfert international de données peut s’effectuer soit par une décision d’adéquation par laquelle l’Union reconnaît qu’un territoire présente un niveau de protection équivalent au sien, soit par des garanties appropriées listées par le RGPD. Parmi ces « garanties appropriées » figurent les clauses contractuelles types, lesquelles présentent des garanties suffisantes, et, qui sont adoptées par la Commission.

Par l’arrêt Schrems II, la Cour juge que les clauses types encadrant la relation entre le responsable de traitement et sous-traitant des données ne présentent aucun élément de nature à entacher leur validité.

Elle décide que les clauses contractuelles types présentent des mécanismes d’effectivité suffisants à même d’assurer le niveau de protection adéquat requis par le RGPD et la Charte des droits fondamentaux de l’Union.

Peu important à cet égard que ces clauses ne lient pas les autorités des États tiers. En effet, dans une logique de responsabilisation des acteurs, elles stipulent que c’est au responsable de traitement et au sous-traitant de prendre les mesures nécessaires pour compenser l’insuffisance de garanties du pays destinataire.

 

II) Invalidation du Privacy Shield conclu entre l’Union Européenne et les États-Unis

La CJUE est également amenée dans cette décision à se prononcer sur la validité même du Privacy Shield. Bien que les États-Unis se soient engagés à ce que les organisations adhérant à l’accord assurent un niveau approprié de protection des données, il est prévu une limitation à cette protection par les exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation.

La Cour tout en reprenant son premier arrêt Schrems de 2016 estime que l’ingérence des autorités publiques américaines porte nécessairement atteinte aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union. Pour autant, des limitations de ces droits sont admises à condition qu’elles soient strictement proportionnées, nécessaires et prévues par la loi. Or, sachant que la législation américaine n’offre pas de droits effectifs et opposables suffisants aux ressortissants européens, la Haute Juridiction invalide le Privacy Shield.

En conclusion, malgré l’invalidation du Privacy Shield, aucun vide juridique n’est créé, car, le transfert des données personnelles de l’Union Européenne vers les États-Unis demeure encadré par les clauses contractuelles types, lesquelles assurent une protection adéquate conforme aux exigences des textes européens.

 

---

Maitre Richard Rondoux, Avocat au barreau de Paris et associé au Cabinet d'avocat BRG, demeure à votre disposition pour toute question concernant ce sujet.