La CJUE dit non à l'accord du Privacy Shield

C’est une décision assez retentissante que vient de rendre la Cour de justice de l’Union européenne jeudi dernier, le 16 juillet 2020, en censurant la décision de la Commission relative à l’accord transatlantique en matière de données personnelles du EU-US Privacy Shield, dans un arrêt « Schrems II » (CJUE, 16 juillet 2020, Data Protection Commissioner, c/ Facebook Ireland Ltd,Maximillian Schrems ; Aff. C‑311/18). Comme on l’avait évoqué dans un précédent article, la Cour avait déjà annulé, en 2015, dans des conditions analogues, la décision correspondante, relative à l’accord du Safe Harbor, ancêtre du Privacy Shield, dans un premier arrêt Max Schrems. Voilà que, près de cinq ans après, l’Histoire se répète.

Cette décision n’est guère surprenante, tant les lacunes de l’accord du EU-US Privacy Shield étaient patentes. En dépit de certaines améliorations, c’est une Commission complaisante qui avait négocié, en toute hâte, un accord étrangement semblable au premier. Ainsi, ce sont ici les même causes qui ont produit les mêmes effets.

Arrêtons-nous néanmoins quelques instants sur cette décision « Max Schrems II », d’abord pour tenter d’en identifier certains des ressorts juridiques, mais encore pour en envisager les implications, notamment pour les entreprises, de part et d’autre de l’Atlantique.

Privacy Shield et Safe Harbor: une Histoire qui se répète

L’inépuisable Max Schrems

C’est toujours du fameux activiste autrichien dont il est ici question. Simple utilisateur de Facebook, c’est l’une de ses plaintes, déposée le 23 juin 2013 devant le Commissaire à la protection des données d’Irlande (« Data Protection Commissionner »), — le siège social de Facebook en Europe est situé en Irlande — qui avait été à l’origine de la censure de l’accord du Safe Harbor dans la décision « Max Schrems I ».

C’est suite à la reformulation de cette plainte en 2015 qu’intervient le présent arrêt. Le procédé est à peu près identique. Max Schrems conteste, toujours sur le fondement des mêmes articles 7, 8 et 47 de la Charte des droits fondamentaux de l’Union européenne — droit au respect de la vie privé, protection des données personnelles, et droit au recours équitable — la décision d’exécution de la Commission n°2016/1250 du 12 juillet 2016 validant le Privacy Shield (dite décision « BPD » pour « Bouclier de protection des données »).

Chose nouvelle, il en profite également pour questionner la conformité du mécanisme des clauses contractuelles types, institué par une décision n°2010/87/UE, du 5 février 2010 (dite décision « CCT »). Il s’agit ici d’un mécanisme qui ne concerne pas spécifiquement les transferts de données transatlantiques, mais peut néanmoins leur être applicable. En l’absence d’un accord d’adéquation entre l’Union européenne et l’Etat tiers destinataire, le transfert de données personnelles peut être encadré par ce type de clauses, validées par la Commission, en application de l’article 45 du RGPD.

L’autorité de contrôle irlandaise s’estimant incompétente pour trancher cette question de droit, elle saisit la Haute cour de justice irlandaise (« High Court »), laquelle adresse alors une série de questions préjudicielles à la Cour de justice, avec le résultat que l’on connaît.

En cause: le EU US Privacy Shield, un hâtif et bancal aménagement du Safe Harbor

La retentissante censure du Safe Harbor avait, certes, conduit le gouvernement américain à proposer quelques aménagements, lors de la négociation du Privacy Shield. Toutefois, celles-ci étaient demeurées, comme on l’a vu, de nature essentiellement cosmétique.

Le gouvernement des Etats-Unis s’était, en effet, engagé à soumettre ses pratiques en matière de collecte des données à un principe de minimisation, formalisé dans un règlement présidentiel, (dit « PPD 28 »). Il avait également instauré un médiateur ou « ombudsperson » sur le modèle de l’« ombudsman », censé combler l’absence de contrôle juridictionnel sur l’exploitation des données personnelles des européens par les agences de renseignement américaines.

Ces (maigres) concessions avaient peut-être suffi à contenter la Commission. Toutefois, l’essentiel de ce qui constituait le caractère controversé du Safe Harbor demeurait, à savoir le fait que les données personnelles des européens, collectées en Europe, par des entreprises américaines, puissent être transférées aux Etats-Unis, et, partant, y être exploitées dans le cadre des programmes de renseignement. De même le Privacy Shield reprenait, dans ses grandes lignes, l’organisation institutionnelle du Safe Harbor. Les entreprises américaines devaient s’auto-certifier et s’enregistrer auprès du Département du commerce américain (ou « Federal Trade Commission »).

Ces insuffisances n’avaient pas manqué d’être relevées, à très haut niveau dans l’Union européenne, notamment au sein du Parlement européen.

Le raisonnement de la Cour de justice dans son arrêt « Schrems II »

Les principaux éléments de discorde : l’article 702 du FISA et l’« E.O. 12333 »

Le Foreign Intelligence Surveillance Amendment Act (FISA), une loi fédérale de 1978, telle que modifiée en 2008, par le FISA amendment Act. Or l’article 702 de ce texte fonde les programmes de surveillance utilisés par la National Security Agency (NSA) et le FBI, comme les fameux programmes PRISM ou UPSTREAM. Selon les dispositions de ce texte, le procureur général et le directeur du renseignement national peuvent autoriser conjointement, après approbation de la « Forein Intelligence Surveillance Court » (ou « FISC »), l’exploitation des données personnelles des ressortissants non américains (« non-US persons »), même situés hors du territoire des Etats-Unis, dès lors que lesdites données sont détenues par des personnes morales américaines.

Ainsi, dans le respect d’une légalité formelle, s’organisent la collecte « en vrac », et l’exploitation à grande échelle des données personnelles des citoyens européens, par les services de la NSA et du FBI. La collecte est dite « en vrac », car on y procède a priori, sans qu’il ne soit nécessaire de justifier d’un quelconque ciblage, d’une quelconque enquête en cours, ni, a fortiori, de l’existence d’un mandat. A ce titre, les citoyens européens sont d’autant moins protégés qu’il ne sont pas couverts par le quatrième amendement de la Constitution des Etats-Unis, protection dont ledit article 702 du FISA ne manque pourtant pas de mentionner l’existence…

En plus de l’article 702 du FISA, un autre texte, l’« Executive Order 12333 » (ou « E.O. 12333 ») permet encore à la NSA d’intercepter des données « en transit » vers les États-Unis, en accédant aux câbles sous-marins posés sur le plancher de l’Atlantique, avant qu’elles arrivent aux États-Unis et y soient, en conséquence, soumises aux dispositions du FISA.

La censure, par la Cour de justice, de la décision BPD

C’est au regard des pratiques instituées par les dispositifs juridiques précités, — à savoir le recours à la collecte « en vrac » des données, permise par l’article 702 du FISA, ainsi que l’interception des flux des câbles sous-marins par l’E.O. 12333 —, que la Cour de justice de l’Union européenne a censuré la décision « BPD » de 2016 de la Commission européenne, estimant celle-ci contraire aux dispositions des articles 7 et 8 de la Charte des libertés de l’Union européenne, qui instituent le droit au respect de la vie privée et la protection des données personnelles, dans son arrêt du 16 juillet.

Dépassant en cela les conclusions de son Avocat général Saugmandsgaard, lequel s’était, prudemment, contenté d’émettre des doutes à ce sujet, la Cour de justice a ainsi estimé que les méthodes employées par les agences de renseignement américaines, même encadrées par le PPD 28, précédemment évoqué, ne correspondaient pas aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité, et qu’ainsi le Privacy Shield ne permettait pas d’offrir des garanties substantiellement équivalentes à celles requises, en droit de l’Union.

De façon analogue, la Cour de justice a encore estimé que le médiateur ou « ombudsperson » institué par le Privacy Shield, et présenté aux européens comme gageant l’existence d’un contrôle juridictionnel minimal sur les manœuvres de la NSA, ne permettait pas de satisfaire les exigences inhérentes au droit au recours effectif institué par l’article 47 de la Charte des droits fondamentaux.

L’on rappellera, en effet que, depuis les décision Tele2 Sverige AB (C‑203/15), du 21 décembre 2016, et Ministerio Fiscal (C‑207/16), du 2 octobre 2018, la Cour de justice soumet à une exigence de proportionnalité assez stricte la collecte, par les autorités publiques, des données issue des services de télécommunication ou d’internet à des fins d’ordre public, ainsi qu’à un nécessaire contrôle juridictionnel.

L’apport d’une telle censure

Le raisonnement de la Cour de justice, dans son arrêt « Schrems II » n’est donc, en substance, guère différent de celui qu’elle avait tenu dans son arrêt « Schrems I » de 2015. Dans un cas comme dans l’autre, ce sont les mêmes abus des administrations américaines et la même insuffisance subséquente de la Commission qui sont censurés, sur le fondement des mêmes principes juridiques — droit au respect de la vie privée, protection des données personnelles et droit à un procès équitable. La seule innovation vient du fait que, dans sa décision « Schrems II », la Cour de justice analyse aussi les dispositifs correctifs mise en place par le gouvernement américain, et en sanctionne, là encore leur insuffisance.

A l’instar de « Schrems I », l’arrêt « Schrems II » revêt néanmoins un intérêt certain, du point de vue du droit international public et de la hiérarchie des normes, dans la mesure où la Cour de justice y confirme indirectement la portée extraterritoriale des principes issus du RGPD et de la Charte des droits fondamentaux, et la prééminence de ceux-ci sur une législation, même étrangère, dès lors qu’elle s’applique aux personnes protégées par lesdits principes. Rappelons, à ce sujet, que le RGPD a vocation à s’appliquer, même hors de l’Union européenne, via le critère du ciblage, affirmé à l’article 3 de ce texte.

Il n’en a pas toujours été ainsi. En 2006, la Cour avait, en effet, validé la transmission des donnes données des passagers, issues du trafic aérien, à la douane américaine, dans une décision PNR (C-317/04 et C-318/04).

La validation, par la Cour de justice, de la décision clauses contractuelles types

L’une des innovations de l’arrêt « Schrems II » vient encore de ce que la Cour de justice a été invitée à se prononcer non pas seulement sur la conformité, au regard des principes précités, de la décision BPD de la Commission, mais encore sur celle de la décision par laquelle celle-ci a approuvé les Clauses contractuelles types (dite décision « CCT »). En effet, ces clauses, lorsqu’elles annexées aux contrats, permettent le transfert de données vers des pays tiers, non-membres de l’Union européenne, en application de l’article 45 du RGPD.

De façon intéressante — mais guère surprenante — la Commission a estimé un tel système compatible avec les exigences d’équivalence substantielle précédemment exposées. Suivant en cela parfaitement les conclusions de son Avocat général, la Cour de justice a néanmoins précisé qu’il est loisible aux autorités de contrôle des Etats membres de suspendre les transferts vers certains pays tiers, même couverts par des clauses contractuelles types, dès lors que celles-ci estimaient que les conditions d’équivalence n’étaient plus vérifiées.

L’ arrêt « Schrems II » : Quelles conséquences?

Bonne nouvelle pour les libertés?

La décision de la Cour de justice, dans son arrêt « Schrems II » du 16 juillet 2020, bien que prévisible, ne peut qu’être saluée. Elle apporte une nécessaire correction à l’une des lacunes majeures de l’équation transatlantique en matière de protection des données personnelles, et partant, du droit de la protection des données dans son ensemble : la fuite des données vers les Etats-Unis, moins disant juridique en la matière.

Cette décision est d’autant plus salutaire qu’elle manifeste avec force la prééminence du droit sur les actions parfois aventureuses, et démocratiquement discutables, de la Commission, dans une Union européenne qui, hélas, traverse une crise grave…

Toutefois, elle ne constitue qu’une étape. La prochaine, cruciale, sera évidemment la négociation d’un nouvel accord, entre le gouvernement américain et la Commission. A ce titre, l’on espère que la Commission fera preuve d’un peu plus de clairvoyance qu’en 2015. A défaut, l’on risque de voir l’Histoire se répéter une troisième fois. Ne dit-on pas que, si l’erreur est humaine, y persévérer est diabolique? …

Mauvaise nouvelle pour les affaires?

Bonne nouvelle pour les libertés, l’arrêt « Schrems II » est-il une mauvaise nouvelle pour les affaires? Il est certain que l’annulation successive des deux accords transatlantiques ne contribue pas favorablement à la sécurité juridique. Plus encore, depuis jeudi, la totalité des transferts de données personnelles vers les Etats-Unis, opérés dans le cadre de l’accord du Privacy Shield sont désormais techniquement illégaux et sont susceptibles d’être sanctionnés en cas de contrôle — à moins que ceux-ci ne soient couverts par d’autres garanties juridiques telles que les clauses contractuelles types ou les règlements d’entreprise.

Bien entendu, il serait manifestement déplorable, et même probablement attentatoire à ce même principe de sécurité juridique, que les Autorités de contrôle des Etats membres fassent supporter les conséquences néfastes de cette annulation aux entreprises européennes faisant appel à des sous-traitants américains, en orientant sur elles leurs contrôles. C’est bien au contraire aux entreprises américaines d’assumer les conséquences des insuffisances de leur gouvernement, et d’être contrôlées, notamment dans l’hypothèse — qui n’est pas à exclure — où les Etats-Unis refuseraient la conclusion d’un accord plus contraignant pour eux.

Espérons également que les autorités de contrôle européenne sauront justement tirer toutes les conséquences d’une telle annulation, notamment d’établir des mesures transitoires, dans l’attente de l’adoption d’un nouvel accord.

Vers quel nouvel accord?

Quelles pourront-être les grandes lignes de ce nouvel accord? Celui-ci devrait tâcher, a minima, d’une part, de mettre fin à la pratique fort peu amène de la collecte « en vrac » des données personnelles par les services de renseignement, via l’imposition à ceux-ci d’un véritable principe de minimisation, analogue à celui qui est requis en droit de l’Union, et, d’autre part, offrir aux européens un véritable contrôle juridictionnel sur les activités desdites administrations, pourquoi pas en leur étendant le bénéfice du quatrième amendement.

Constitue également un pas vers une adéquation plus véritable le souci grandissant de protection des données personnelles outre atlantique, notamment via l’adoption du « California Consumer Privacy Act (CCPA) », comparable au RGPD.

Toutefois, une telle équivalence ne sera possible que moyennant des concessions réciproques. A ce titre, il est bon de rappeler qu’il n’y a pas qu’aux Etats-Unis que les données personnelles des citoyens sont à la merci des services de police et de renseignement! Comme on l’avait évoqué à l’occasion du lancement de l’application Stop Covid, l’article L. 811-3 du code de la sécurité intérieure tel que résultant de la loi du 24 juillet 2015 relative au renseignement — adoptée dans la foulée des attentats de 2015 et de l’état d’urgence qui en a résulté — permet aux services de renseignement d’accéder préventivement aux données des téléopérateurs, notamment aux données de géolocalisation, pour tout motif tenant à l’indépendance nationale, l'intégrité du territoire et la défense nationale, ainsi qu’à la défense des intérêts économiques, industriels et scientifiques majeurs de la France.

Est-ce là quelque chose de bien différent des procédés de la NSA? La conformité de telles dispositions aux principes précédemment exposés est plus que discutable… actuellement elles-aussi contestées devant la Cour de justice de l’Union européenne.