Le RGPD pose comme principe que le transfert de données personnelles vers des pays hors UE doit se faire seulement si le pays tiers assure un niveau de protection adéquat. La Commission a ainsi reconnu certains pays comme offrant un niveau de sécurité suffisant (telle que la Suisse, le Canada ou Israël) pour lesquels le transfert de données est dès lors possible sans autre garantie. A défaut, l’exportateur de données doit s’assurer que des garanties appropriées sont mises en place, notamment par la signature d’un contrat reprenant les Clauses Contractuelles Types émises par la Commission (CCT).
Mr Schrems est un ressortissant autrichien utilisateur de Facebook. Dans ce cadre, ses données personnelles sont transférées par Facebook depuis l’Irlande vers les serveurs situés aux Etats Unis. C’est un habitué des actions contre Facebook et il avait déjà dénoncé, avec succès, le manque de sécurité du transfert de ses données (arrêt Schrems I de la CJUE du 6 octobre 2015). Depuis, par une décision du 12 juillet 2016 la Commission Européenne a considéré que le nouveau système de Privacy Shield mis en place par les Etats Unis offrait un niveau de sécurité suffisant pour les transferts de données personnelles.
Mr Schrems a de nouveau mis en cause le transfert de ses données par Facebook et par une décision du 16 juillet 2020 (C311/18) la CJUE a considéré que la décision reconnaissant le Privacy Shield comme assurant un niveau de protection adéquat était invalide.
La Cour indique que la réglementation américaine permet un accès et une utilisation des données personnel par les autorités publiques américaines sans un encadrement suffisant permettant d’assurer que les programmes de surveillance mis en place par les Etats-Unis sont limités au strict nécessaires. Par ailleurs les personnes concernées ne disposent d’aucun droit opposable aux autorités américaines devant les tribunaux.
Le transfert de données UE/US ne peut donc plus se faire sur le fondement du Privacy Shield et les opérateurs doivent sécuriser leurs transferts de données via la signature de CCT, dans les conditions et limites également décrites par la Cour dans ce même arrêt (cf notre article « Data : transfert international de données, attention aux clauses contractuelles types (CCT) »).
Emmanuelle Behr
Avocate Associée