Schrems II : Validation des clauses types (CJUE) (2/2)
Les clauses types de protection des données adoptées par la Commission européenne sont valides, bien qu’elles ne soient pas opposables aux autorités du pays vers lequel les données sont transférées. Cela étant, le recours aux clauses types ne dispense pas l’exportateur de données d’évaluer les risques dans le cas concret et, le cas échéant, d’établir des garanties supplémentaires. L’exportateur doit en particulier vérifier que le droit du pays de destination permet au destinataire des données de respecter ses engagements et n’autorise pas d’ingérence disproportionnée de la part des autorités.
Faits
Maximilian Schrems, juriste et activiste autrichien, introduit une plainte concernant le transfert de ses données personnelles par la filiale européenne de Facebook à une entité du groupe aux États-Unis. À l’issue d’une enquête, l’autorité de contrôle irlandaise saisit la High Court afin que celle-ci vérifie la validité des motifs justificatifs sur lesquels s’appuie Facebook pour exporter les données vers les États-Unis. La High Court sursoit à statuer et saisit la Cour de Justice de l’Union européenne (CJUE) de questions préjudicielles.
La CJUE est notamment invitée à examiner la validité de (1) la décision d’adéquation de la Commission européenne permettant les transferts de données vers les États-Unis dans le cadre du Privacy Shield et (2) la décision de la Commission européenne selon laquelle les clauses types de protection des données offrent des garanties suffisantes pour un transfert de données vers un pays tiers.
Le présent résumé porte sur le second point. La validité de la décision relative au Privacy Shield fait l’objet d’un résumé séparé (LawInside.ch/945).
Droit
Les art. 44 ss RGPD assujettissent le transfert de données personnelles hors de l’Union européenne à certaines conditions. Un tel transfert est notamment autorisé en présence de garanties appropriées. Les parties peuvent entre autres fournir de telles garanties en recourant aux clauses types de protection des données adoptées par la Commission européenne (art. 46 par. 2 let. c RGPD).
Il s’agit de déterminer si les clauses types en vigueur fournissent effectivement des garanties suffisantes au regard des art. 7 (Respect de la vie privée), 8 (Protection des données à caractère personnel) et 47 (Droit à un recours effectif et à accéder à un tribunal impartial) de la Charte européenne des droits fondamentaux. La juridiction de renvoi s’interroge en particulier sur l’absence de garanties opposables aux autorités publiques du pays de destination. En effet, ces dernières sont susceptibles de porter atteinte aux droits des personnes concernées, notamment en accédant aux données à des fins de surveillance. Or, les clauses types lient uniquement les parties au transfert, et non les autorités.
La CJUE rappelle qu’il appartient à l’exportateur des données (c’est-à-dire au responsable de traitement ou à son sous-traitant établi dans l’Union européenne) de veiller à l’établissement de garanties appropriées. Les clauses types consacrent uniquement des obligations contractuelles entre les parties au transfert, quel que soit le pays vers lequel les données sont transmises. Si le droit du pays de destination pose des risques particuliers (p. ex. s’agissant d’éventuelles ingérences des autorités locales), il appartient à l’exportateur de données d’adopter des mesures supplémentaires afin d’assurer un niveau de protection adéquat (cf. consid. 109 RGPD).
En outre, en vertu des clauses types, le destinataire du transfert de données certifie que la législation le concernant lui permet de se conformer à ses obligations contractuelles. Il s’engage également à notifier son cocontractant d’une éventuelle impossibilité ultérieure. Ainsi, selon le mécanisme des clauses types, il incombe aux parties au transfert de données de vérifier que le droit du pays tiers concerné permet au destinataire de respecter ses engagements contractuels. En particulier, la législation locale ne doit permettre aucune ingérence dans les droits fondamentaux des personnes concernées qui aille au-delà du nécessaire dans une société démocratique. Dans le cas contraire, il appartient à l’exportateur de données de suspendre le transfert de données.
Partant, les clauses types offrent des garanties suffisantes en matière de protection des données, pour autant que le droit du pays de destination n’empêche pas leur respect. L’absence d’opposabilité aux autorités du pays tiers ne donne ainsi pas matière à invalider les clauses types. Cela étant, nonobstant l’adoption de ces clauses par la Commission, l’autorité de contrôle compétente est habilitée à vérifier si la législation du pays de destination fait obstacle à leur respect et, le cas échéant, à interdire le transfert des données personnelles concernées.
Note
Malgré la confirmation de la validité des clauses types, cet arrêt formule des exigences très sévères à l’encontre des exportateurs de données : s’appuyer de façon générique sur les clauses types ne suffit pas, une évaluation des risques dans le cas d’espèce est nécessaire. Si cette exigence paraît sensée dans une perspective de protection effective de la personnalité, on peut se demander si elle ne sape pas la pertinence pratique des clauses types, qui ont précisément vocation à s’appliquer aux transferts de données vers des pays dont la législation n’offre pas un niveau de protection équivalent à celui de l’Union européenne. En outre, nous voyons mal quelles garanties supplémentaires l’exportateur de données pourrait mettre en place pour parer à un risque d’ingérence disproportionnée des autorités. Comme le relève Dr David Vasella, le contrat entre l’exportateur et le destinataire ne permet pas directement de mitiger ce risque. Selon la suggestion de Dr David Vasella, on peut certes envisager des modalités de transfert et de conservation des données restreignant le risque d’accès par les autorités étrangères, ainsi qu’encadrer contractuellement la réponse à une éventuelle requête d’accès des autorités. Cela étant, il nous semble que de telles mesures ne règlent pas la problématique fondamentale d’une surveillance disproportionnée et non susceptible de contrôle juridictionnel dans le pays de destination.
À noter que la CJUE ne tranche pas expressément la question de savoir si les garanties offertes par les clauses types sont insuffisantes pour transférer des données vers les États-Unis. Cela étant, cette conclusion nous paraît s’imposer au regard des considérants de cet arrêt relatifs à la décision d’adéquation (consid. 150ss, résumés in LawInside.ch/945). S’agissant de Facebook, il appartient maintenant à la juridiction de renvoi, respectivement à l’autorité de contrôle irlandaise, d’examiner si les garanties dont se prévaut la société (y compris le recours au clauses types) permettent d’assurer un niveau de protection adéquat.
Proposition de citation : Emilie Jacot-Guillarmod, Schrems II : Validation des clauses types (CJUE) (2/2), in: https://lawinside.ch/950/
Les commentaires sont désactivés.