Un médecin ou un hôpital peut décider de faire appel à un fournisseur de service Cloud établi aux États-Unis. Le Règlement Général sur la Protection des Données (ci-après : « le RGPD ») prévoit la possibilité de transférer des données à caractère personnel vers des pays tiers en dehors de l'UE, sous réserve du respect d'un ensemble de conditions spécifiques. Il est crucial à cet égard que le niveau de protection garanti par le RGPD soit équivalent (Art. 44 RGPD).
Il appartient en premier lieu à la Commission européenne d'évaluer si un pays tiers assure un niveau adéquat de protection des données. Une telle décision d'adéquation de la Commission signifie que le pays tiers concerné offre un niveau de protection et de sécurité juridique équivalent à celui de l’Union Européenne et cette décision s’applique donc à l'ensemble des pays de l’Union (CJE, 16 juillet 2020 – C-311/18 Considération 103). En conséquence, les transferts de données de l'UE vers ces pays tiers ne nécessitent pas une autorisation spécifique d'une autorité de contrôle (Art. 45 RGPD).
En 2015, la décision de la Commission sur la « Sphère de sécurité» a été jugée invalide
Dans le passé, la Commission européenne a considéré qu'un transfert de données personnelles vers les États-Unis était autorisé sur la base de la décision relative à la « Sphère de sécurité » (Décision de la Commission 2000/520/CE du 26 juillet 2000) Avec cette décision - qui était encore fondée sur l'ancienne directive sur la protection de la vie privée - la Commission européenne a établi les "principes de la sphère de sécurité relatifs à la protection de la vie privée" auxquels les entreprises américaines devaient se conformer afin de fournir une protection adéquate. En effet, l'ancienne directive sur la protection des données à caractère personnel contenait une disposition similaire à celle de la décision d’adéquation qui prévoyait qu'un transfert de données vers un pays tiers était autorisé sur base d'une décision d'adéquation de la Commission. Toutefois, par son arrêt du 6 octobre 2015, la CJUE a jugé que cette décision de la Commission était invalide car elle n'était pas conforme à la directive européenne relative aux données à caractère personnel et au droit à la vie privée prévu par la Charte européenne des droits fondamentaux de l'Union européenne (Considération 107).
Max Schrems - le célèbre activiste de la protection de la vie privée autrichien - avait alors déposé une plainte devant la CJUE contre la Commission de la vie privée irlandaise étant donné que cette Commission avait refusé d'interdire à Facebook Irlande de transférer ses données personnelles vers les serveurs de Facebook Inc. situés sur le territoire américain (Considération 27). Il a fait valoir que le droit et la pratique applicables aux États-Unis n'offraient pas de garanties suffisantes pour assurer une protection adéquate des données à caractère personnel détenues sur leur territoire contre les activités de surveillance qui y sont menées par les autorités publiques (Considération 28). Cette affaire s'est déroulée à un moment où les révélations d'Edward Snowden sur les pratiques de l'Agence de Sécurité Nationale Américaine ("NSA") ont été largement diffusées (Considération 28). Comme la Commission de la protection de la vie privée irlandaise avait rejeté la plainte de Max Schrems, entre autre sur la base de la décision sur la sphère de sécurité (Safe Harbor décision), par laquelle la Commission européenne avait établi que le niveau de protection aux Etats-Unis était adéquat, le tribunal irlandais a saisi la Cour de justice d'une demande de question préjudicielle sur la validité de la décision d'adéquation de la Commission en question.
La Cour de justice a estimé que la décision sur la sphère de sécurité pouvait impacter les droits fondamentaux des personnes dont les données à caractère personnel ont été ou pourraient provenir de l’Union européenne et être transférées vers les États-Unis en raison d’exigences de sécurité nationale et d'intérêt public ou par la législation nationale des États-Unis (Considération 87). La Cour a conclu que les États-Unis ne pouvaient pas assurer un niveau de protection adéquat et équivalent à celui prévu par le droit communautaire, puisque une fois transférées, les autorités américaines pouvaient traiter les données d'une manière incompatible avec les finalités pour lesquelles ces données ont été transférées et que ce traitement allait au-delà de ce qui était strictement nécessaire et proportionné pour la protection de la sécurité nationale (Considération 90).
La Commission européenne a pris une nouvelle décision : la décision sur le bouclier de protection des données UE-États-Unis
Comme de nombreuses grandes entreprises américaines risquaient de rencontrer des problèmes lors de leurs transferts de données vers les États-Unis, la Commission européenne a rapidement pris une nouvelle décision d'adéquation pour permettre le transfert de données vers les États-Unis, en particulier la décision UE-USA "Privacy Shield" (Décision d’exécution 2016/1250 de la Commission du 12 juillet 2016).
Le « Privacy Shield » est basé sur un système d'autocertification par lequel les entreprises américaines démontrent leur adhésion à un ensemble de principes de protection de la vie privée. Ces entreprises figurent sur la "privacy shield list", qui est tenue par le ministère américain du commerce. Lorsque des données à caractère personnel sont transférées de l'UE à des entreprises américaines dans le cadre du « Privacy Shield » - c'est-à-dire à des entreprises figurant sur la liste du "Privacy Shield" - il est présumé que les États-Unis assurent un niveau de protection adéquat de ces données à caractère personnel (Considération 46).
Suite à l'arrêt de la Cour de justice du 6 octobre 2015, le tribunal irlandais a annulé le rejet de la plainte de Max Schrems par la Commission de la vie privée irlandaise, après quoi sa plainte a dû être réexaminée par la Commission de la vie privée. Étant donné que Facebook Irlande avait entre-temps déclaré qu'une grande partie des données à caractère personnel était transférée à Facbook Inc. sur la base des clauses types de protection des données adoptées par la Commission dans sa décision relative aux clauses contractuelles types (ci-après : « la décision CCT ») et que le transfert de données serait donc juridiquement valable, il a été demandé à Max Schrems de reformuler sa plainte initiale à cet égard (Considération 54-55). Comme il était évident que cela soulèverait la question de la validité de la décision CCT, une nouvelle question préjudicielle a été soumise à la Cour de justice.
En effet, le RGPD (et précédemment la directive "vie privée") prévoit qu'en l'absence d'une décision d'adéquation de la Commission, un transfert de données à caractère personnel par un responsable de traitement de l’Union Européenne vers un pays tiers (hors Europe) ne peut avoir lieu qu'à condition de prévoir des garanties adéquates et que les personnes concernées disposent de droits opposables et de voies de recours effectives (Art. 46 §1 RGPD). Ces garanties appropriées peuvent être fournies en incluant dans l'accord avec le sous-traitant établi dans le pays tiers les clauses contractuelles types de protection des données rédigées par la Commission européenne dans sa décision relative aux clauses contractuelles types (la décision CCT) (Décision de la Commission 2010/87 du 5 février 2010). Par conséquent, ces transferts de données ne nécessitent pas une autorisation spécifique de l'autorité de contrôle car on considère qu'un transfert sur la base de ces clauses types offre la protection adéquate nécessaire (Art. 46 §2, c) RGPD).
Bien que, au sens strict, le litige ne portait que sur la validité de la décision CCT, entre-temps, la décision UE-USA Privacyshield avait été adoptée, ce qui implique que la Cour de justice devait tenir compte de ce changement de circonstances dans son appréciation (Considération 154). Les différentes questions préjudicielles contestaient essentiellement la conclusion de la Commission européenne dans sa décision UE-USA Privacyshield estimant que les États-Unis assureraient un niveau de protection adéquat lors du transfert des données de l'Union vers ce pays tiers (Considération 160).
La décision "Privacy Shield" est également invalide
Cependant, dans son arrêt du 16 juillet 2020, la Cour de justice a décidé que le bouclier de protection de la vie privée UE-USA n'est pas valable. En effet, compte tenu de l'accès étendu que les autorités gouvernementales américaines ont vis-à-vis des données transférées depuis l’Union Européenne dans le cadre de programmes de surveillance, la Cour estime que les États-Unis n'assurent pas un niveau de protection adéquat et conforme au droit communautaire. En effet, selon la Cour, les États-Unis n'offrent pas de garanties suffisantes aux personnes concernées pour protéger leur droit à la vie privée, leur droit à la protection des données à caractère personnel et leur droit d'accès à un tribunal indépendant et impartial afin d'obtenir l'accès, la rectification ou la suppression des données à caractère personnel les concernant (Considération 198 – 201).
Qu'en est-il du transfert de données vers les États-Unis ?
En l'absence d'une décision d'adéquation valable de la Commission pour les transferts de données vers les États-Unis, les responsables du traitement et les sous-traitants eux-mêmes devront désormais fournir des garanties appropriées et veiller à ce que les personnes concernées disposent des droits opposables et de voies de recours effectives en vertu de l'article 46 de le RGPD pour leur permettre de transférer des données à des entreprises américaines.
Bien que la Cour de justice, dans son récent arrêt du 16 juillet 2020, ait estimé qu'aucun fait ou circonstance susceptible d'affecter la validité de la décision du CCT n'ait été établi, (Considération 198 – 201) il ne sera pas possible pour les entreprises de continuer à baser le transfert de données à caractère personnel vers les États-Unis sur ces contrats types.
En effet, il est inhérent à la nature contractuelle de ces clauses types de protection des données qu'elles ne s'appliquent qu'entre les parties contractantes et ne peuvent donc pas lier les autorités de pays tiers (Considération 132). Conformément au RGPD, les responsables du traitement des données dans l'UE qui souhaitent transférer des données aux États-Unis devront donc prendre des mesures supplémentaires en plus de ces clauses types afin d’assurer le respect et un niveau de protection adéquat (Considération 133).
Toutefois, lorsqu'il est impossible de prendre de telles mesures parce que la législation du pays tiers empêche le destinataire de données de l'Union Européenne de respecter la garantie contractuelle assurant un niveau de protection adéquat contre l'accès à ces données par les autorités publiques de ce pays tiers, le responsable du traitement ou le sous-traitant établi dans l'UE devra suspendre le transfert de données vers le pays tiers concerné ou y mettre fin (Considération 135). Les entreprises américaines ne pourront donc pas se prévaloir des clauses standard pour considérer qu'un transfert de données personnelles vers les États-Unis est conforme au RGPD.
Stefaan Callens en Paulien Beelen
