Le RGPD pose comme principe que le transfert de données personnelles vers des pays hors UE doit se faire seulement si le pays tiers assure un niveau de protection adéquat. La Commission a ainsi reconnu certains pays comme offrant un niveau de sécurité suffisant (telle que la Suisse, le Canada ou Israël) pour lesquels le transfert de données est dès lors possible sans autre garantie. A défaut, l’exportateur de données doit s’assurer que des garanties appropriées sont mises en place, notamment par la signature d’un contrat reprenant les Clauses Contractuelles Types émises par la Commission (CCT).
Mr Schrems est un ressortissant autrichien utilisateur de Facebook. Dans ce cadre, ses données personnelles sont transférées par Facebook depuis l’Irlande vers les serveurs situés aux Etats Unis. C’est un habitué des actions contre Facebook et il avait déjà dénoncé, avec succès, le manque de sécurité du transfert de ses données (arrêt Schrems I de la CJUE du 6 octobre 2015). Depuis, par une décision du 12 juillet 2016 la Commission Européenne a considéré que le nouveau système de Privacy Shield mis en place par les Etats Unis offrait un niveau de sécurité suffisant pour les transferts de données personnelles. Par ailleurs le transfert de données par Facebook depuis l’UE vers les Etats Unis est maintenant réalisé sur le fondement des CCT.
Mr Schrems a de nouveau mis en cause le transfert de ses données par Facebook et par une décision du 16 juillet 2020 (C311/18) la CJUE a validé les CCT mais a considéré que la décision reconnaissant le Privacy Shield comme assurant un niveau de protection adéquat était invalide (cf notre article « Data : transfert de données vers les US, la CJUE invalide le Privacy Shields »).
La Cour précise que la simple signature de CCT ne suffit pas et que l’évaluation du niveau de protection doit également prendre en compte l’éventuel accès des autorités publiques de ce pays tiers aux données transférées et les éléments pertinents du système juridique. L’exportateur et le destinataire de données ont dès lors pour obligation de vérifier que ce niveau de protection est respecté dans le pays tiers. Le destinataire doit notamment informer l’exportateur de son éventuelle incapacité à se conformer au CCT et, le cas échéant, suspendre le transfert ou résilier le contrat.
Signer les CCT est donc nécessaire mais plus suffisant et il faut introduire à vos contrats des clauses d’information et de garanties supplémentaires pour assurer un transfert de données conforme au RGPD.
Emmanuelle Behr
Avocate Associée