RGPD - L'ARRÊT SCHREMS II MET-IL FIN AUX TRANSFERTS INTERNATIONAUX DE DONNÉES ?
Retour sur le Talk du 2 Février 2021.
Intervention de Monsieur Jean-Luc Sauron,
Jacques Bellichach et Brigitte Beaumont
Slider

L’accélération de la digitalisation des échanges nous confronte aux environnements juridiques des pays. Parmi ces échanges figure le transfert de données. Un des enjeux principaux du transfert de données personnelles est le risque notamment d’interception à des fins commerciales ou par les autorités des pays à des fins de sécurité publique, de défense et de sûreté de l’état. Nous avons donc demandé à Jean-Luc Sauron de venir éclairer pour nous ce débat.

  

Monsieur Sauron, est un juriste de renommée internationale, a été Magistrat de l’ordre judiciaire. Il a également œuvré auprès du secrétariat général des affaires européennes avant de rejoindre la plus haute juridiction administrative.
Il est un spécialiste du droit européen dont il a pu suivre et anticiper toutes les évolutions de ces dernières décennies. Il est d’ailleurs l’auteur de nombreux ouvrages et articles sur les institutions et procédures communautaires, ainsi que sur le droit européen des droits de l’Homme.  Monsieur Sauron a été l’un des négociateurs de la directive européenne de 1995, relative à la protection des données personnelles, l’ancêtre du RGPD.

On peut donc dire qu’il y avait bien une vie juridique avant le RDGP pour les données personnelles.  Au-delà de ses nombreuses interventions et écrits, son parcours est guidé par le partage des connaissances et la diffusion du savoir.
C’est ainsi qu’il a été conduit tout naturellement à créer le diplôme universitaire de Délégué à la protection des données, à l’université de Paris Dauphine dans laquelle il est professeur. Ce diplôme qui a une dimension technique et juridique regroupe des professionnels venus de tous horizons car nous le verrons le rayonnement du RGPD dépasse largement les simples règles de droit et le cadre purement national.

On a souvent entendu et lu que les décisions « SCHREMS » c’était un peu le combat de DAVID contre GOLIATH ; dans le prolongement de cette comparaison, nous pouvons dire que nous recevons aujourd’hui un Géant, lui indestructible, du droit des données personnelles. C’est dire la chance pour nous tous d’avoir un tel expert à écouter comme intervenant. 

Le transfert de données à l’international est organisé par le Chapitre V du RGPD

Le « transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales » est organisé selon des modalités prévues au chapitre V du RGPD à ses articles 44 à 50.
Les transferts de données vers un Etat membre de l’UE ne posent aucune difficulté.  Le transfert des données concernant un Etat tiers à l’UE ne sont possibles que sous certaines conditions :

NIVEAU ETATIQUE
(1) Soit dans le cadre d’une décision d’adéquation entre l’UE et un Etat tiers à l’UE. Dans ce cadre, les échanges de données sont libres, sous réserve de contrôle éventuel d’une autorité de contrôle national (en France, la CNIL). « Une « décision d’adéquation » est une décision adoptée par la Commission européenne sur la base de l’article 45 du RGPD, qui établit qu’un pays tiers (c’est-à-dire un pays non lié par le RGPD) ou une organisation internationale assure un niveau de protection adéquat des données à caractère personnel. Une telle décision tient compte de la législation interne du pays, de ses autorités de contrôle et des engagements internationaux qu’il a souscrits » (i). Dans la plus récente décision d’adéquation (avec le Japon), il est précisé qu’il ne s’agit pas d’une conformité totale entre les deux législations, mais de s’assurer d’une convergence sur l’essentiel des principes et des règles. Les pays bénéficiaires d’une décision d’adéquation sont : Andorre, Argentine, Canada, Iles Féroé, Guernesey, Israël, Ile de Man, Japon, Jersey, Nouvelle-Zélande, Suisse, Uruguay (ii) ;
(2) Soit une convention bilatérale entre un Etat membre de l’UE et un Etat tiers à l’UE (article 46 du RGPD) qui doit prévoir que les garanties essentielles européennes (rappelées ci-après) sont respectées par la législation sur la protection des données dudit Etat tiers ;

(I) https://edps.europa.eu/data-protection/data-protection/glossary/a_fr
(II) Il est vraisemblable que la Grande-Bretagne fasse une demande de décision d’adéquation pour continuer à échanger des données personnelles de ses clients et entreprises après le 31 juin 2021.

Avons-nous bien compris en disant que toute entreprise qui transfère des données personnelles vers un Etat qui rentre dans une de ces deux catégories mentionnées précédemment n’a pas d’autre démarche à faire  ?
Mr Jean-Luc Sauron : Oui, tout à fait. La seule responsabilité de l’opérateur c’est de bien vérifier l’existence d’une décision d’adéquation ou d’un accord bilatéral. Il convient de bien lire ladite décision ou accord, certaine décision ayant opéré une reconnaissance limitée à certains secteurs économiques et non tous les secteurs de l’Etat tiers (c’est le cas de la décision d’adéquation avec le Canada)…

NIVEAU ENTREPRISES
(3) Soit un règlement d’entreprise contraignante (REC, article 47 du RGPD), uniquement pour les transferts de données au sein de filiales d’une même entreprise au niveau international, après validation d’une autorité de contrôle nationale (en accord avec le Comité européen de protection des données) de ce qu’elles respectent lesdites garanties européennes essentielles ;

(4) Soit des clauses contractuelles types rédigées par la Commission européenne et que les entreprises doivent suivre pour transférer des données personnelles vers des autres entreprises d’un Etat tiers à l’UE (article 46 du RGPD) en ce qu’elles attestent que les entreprises, à qui sont transférées les données, respectent les garanties européennes essentielles. Une entreprise peut choisir de rédiger des clauses ad hoc (mais sous sa seule responsabilité).

 

Tout cela démontre l’extraterritorialité du R.G.P.D ; son impact et son influence dans le monde entier. Si quelqu’un a contribué au rayonnement du R.G.P.D c’est bien Maximilian SCHREMS, ressortissant autrichien qui avait commencé par déposer une plainte en 2013 auprès du Commissaire à la protection des données de l’Irlande. Ce dernier demandait d’interdire à FACEBOOK Ireland de transférer ses données vers des serveurs appartenant à Facebook US car les données ainsi transférées étaient soumises à des pouvoirs de surveillance de masse exercés par les autorités publiques américaines.

Pouvez-vous nous résumer la première étape judiciaire relative au contrôle du transfert de données par la juridiction européenne à savoir l’arrêt SCHREMS I ?
Mr Jean-Luc Sauron  : L’arrêt Schrems I est très important puisqu’avant cet arrêt la décision d’adéquation semblait garantir tous transferts sans contrôle ultérieur. En réalité, dans Schrems I, la Cour de justice juge qu’un résident de l’un des Etats membres de l’UE peut contester auprès d’une autorité de contrôle nationale la conformité d’une décision d’adéquation aux dispositions du RGPD. Si l’autorité de contrôle a un doute sur cette conformité elle doit saisir une juridiction aux fins que cette dernière présente une question préjudicielle à la Cour de justice. En effet, seul le juge de l’Union peut remettre en cause la validité d’un acte de droit dérivé (directive, règlement, décision). L’arrêt Schrems I juge que la décision d’adéquation entre les EU et L’UE (à l’époque le Safe Harbour) est non conforme et prononce son annulation.; Cette première décision d’adéquation a été remplacée par le Privacy Shield (deuxième décision d’adéquation ) annulée par la Cour de justice dans son arrêt Schrems II.

L’arrêt de grande chambre de la Cour de justice du 16 juillet 2020, affaire C-311/18, Data Protection Commissionner contre Facebook Ireland Ltd, Maximillian Schrems (ci-après arrêt Schrems II) fournit une grille de lecture et de mise en œuvre des articles du chapitre V du RGPD.

Pour la Cour de justice, les dispositions du chapitre V du RGPD visent à assurer la continuité du niveau élevé de la protection prévue par ledit règlement en cas de transfert de données à caractère personnel vers un pays tiers.  Tous les outils précités (1 à 4) doivent garantir que les droits opposables accordés aux résidents européens par le RGPD (droit d’accès, droit à l’oubli, droit de portabilité, etc.) et ainsi que les voies de droit effectives (c’est-à-dire l’existence d’une autorité de contrôle indépendante de l’Etat et l’accès à un juge pour faire respecter ces droits) demeurent accessibles dans ce pays tiers à l’UE.

L’arrêt Schrems II annule le Privacy Shield, accord signé par les Etats-Unis et l’UE et qui permettait aux entreprises américaines de s’enregistrer auprès du Ministère du commerce afin d’assurer qu’un niveau de protection adéquat était mis en œuvre. L’arrêt annule ce mécanisme et exige que les clauses contractuelles types soient accompagnées, à l’avenir, de mesures complémentaires permettant le transfert de données vers les Etats-Unis ou tout pays tiers à l’UE non reconnu comme adéquat.

A la suite des jurisprudences SCHREMS I, et SCHREMS II, peut-on imaginer que d’autres décisions d’adéquation puissent être attaquées et invalidées, notamment les plus anciennes d’entre elles, prises au début des années 2000 (Canada, Guernesey, Iles Feroé, etc…) ? A l’inverse, des pourparlers d’adéquation étant engagés avec la Corée du Sud, pensez-vous que d’autres pays, et notamment des pays du Maghreb tels que la Tunisie, pourraient un jour bénéficier d’une décision d’adéquation ?
Mr Jean-Luc Sauron : Oui, tout à fait. Mais il est clair que les échanges de données avec les Etats-Unis sont le plus importants en nombre compte tenu du poids des GAFAM dans la numérisation des sociétés 5microsoft et sa suite 365, Facebook, Apple), Les autres Etats cités ne sont pas aussi majeurs dans le flux des données transférées. Deux Etats proches (Maroc et Tunisie) sont en effet en cours de négociation avec la Commission européenne. Le Maroc est le plus avancé. Ces négociations sont très importantes compte tenu de l’implantation de très nombreux partenaires économiques d’Etats européens dans ses deux pays du Maghreb…

Les mesures proposées par le Comité européen de protection de la donnée et la Commission européenne pour répondre aux exigences de l’arrêt SCHREMS II.

Pour permettre aux entreprises de continuer les transferts de données vers des pays tiers non adéquats, le Comité européen de la protection des données (ci-après CEPD) (iii) a adopté deux recommandations 1/2020 et 2/2020 des 10 novembre 2020.

La recommandation 1/2020 a pour objectif « d’aider les responsables du traitement et les sous-traitants dans leur tâche consistant à déterminer et à mettre en œuvre des mesures supplémentaires appropriées pour garantir une protection adéquate lors du transfert de données vers des pays tiers ».

Toutefois les conséquences de l’arrêt Schrems II sont importantes et le CEPD « rappelle que chaque organisation devra évaluer ses propres opérations de traitement et transferts de données et prendre les mesures appropriées », c’est-à-dire que chaque opérateur économique reste responsable des transferts et de leur conformité au RGPD surtout tant qu’une solution globale et définitive n’est pas apportée à ces mouvements.

La recommandation 2/2020 énonce les quatre garanties essentielles européennes qui synthétisent les grandes lignes de l’arrêt Schrems II :

- Le traitement de données doit être fondé sur des règles claire, précise et accessible
- La nécessité et la proportionnalité du traitement de données, par rapport aux objectifs légitimes poursuivis, doivent être démontrées.
- Un mécanisme de contrôle indépendant doit exister [de type CNIL pour la France. Des recours efficaces doivent être offerts aux personnes concernées devant des juridictions indépendantes.
- La Commission européenne a adopté de nouvelles clauses types le 12 novembre 2020 censées tenir compte du nouveau niveau d’exigence à l’issue de l’arrêt Schrems II.

(iii) Le CEPD réunit les autorités de contrôle des 27 Etats membres de l’Union européenne, le commissaire européen à la protection des données, assistés de la Commission européenne.

Pouvez-vous nous en dire davantage sur les nouvelles clauses types proposées par la commission, les différences avec les précédentes CCT ?
Mr Jean-Luc Sauron : En réalité, je n’avais pas commencé à étudier ces clauses que le CEPD a rendu « une opinion » où elle demande à la Commission de très nombreux corrections et ajout pour être pleinement opérationnel. Attendons la nouvelle version de ces clauses types après intégration des observations rendues par le CEPD.

 

Pour la Grande-Bretagne, quelle situation après le Brexit

Le RGPD reste applicable au Royaume-Uni pour une durée supplémentaire maximale de 6 mois, c’est-à-dire jusqu’au 1er juillet 2021.Par la suite, et à défaut d’une décision d’adéquation de la Commission européenne, ce pays devra être considéré à l’avenir en ce qui concerne les communications de données personnelles comme un pays tiers. 

Les transferts de données personnelles ne pourront se réaliser qu’avec la mise en place de garanties appropriées, telles que décrites ci-dessus : clauses contractuelles types, règles contraignantes d’entreprise, et sous réserve que les Européens disposent de droits opposables et de voies de droit effectives conformément aux dispositions du chapitre V du RGPD telles qu’interprétées dans l’arrêt Schrems II.

Quelles sont les chances pour la Grande Bretagne d’obtenir une décision d’adéquation de la part de la commission européenne ?
Mr Jean-Luc Sauron : Il est évident que la législation britannique est pleinement conforme au droit de l’Union, Union qu’elle vient de quitter. Mais il a fallu les négociations du Brexit pour apprendre que des accords de sécurité entre les EU et la GB existent et prolongent en GB les difficultés relevées par la Cour de justice à propos des droits accordés à trois agences de sécurité américaines concernant la possibilité de demander aux opérateurs américains (= les GAFAM) un accès aux données de résidents européens soit aux EU, soit au sein de données conservées par les GAFAM sur le territoire de l’UE.

 

Enfin, il nous semble important de revenir sur l’importante décision rendue par le Conseil d’Etat le 13 octobre 2020 statuant sur le sort des données de santé hébergées par MICROSOFT sur le territoire européen.
Mr Jean-Luc Sauron : Cette ordonnance de référé statue sur les questions que nous venons d’évoquer : comment est-il possible de confier à un opérateur américain (Microsoft Azur) les données de santé des Français gérées par la plate forme de santé (ou Health Data Hub) ? L’analyse est extrêmement précise et fine. Elle est surtout rédigé avec nos termes, nos façons de rédiger. Il s’agit, permettez-moi ce raccourci, d’une traduction en français de l’arrêt Schrems II, Elle en permet une pleine appréhension.

 

Le R.G.P.D repose sur une vision européenne qui fait de la protection des données personnelles un droit fondamental des individus voire un droit de l’homme. Cette vision autrefois singulière s’étend désormais hors du territoire européen. Nous ne pouvons donc que féliciter le travail de l’Europe qui en créant le R.G.P.D a fait école dans le monde entier et notamment aux U.S.A. Nous remercions ici Jean-Luc Sauron qui nous a permis d’éclairer ce débat essentiel dans cet enjeu majeur de la maîtrise des données personnelles à l’ère du numérique.