Les clauses contractuelles types instaurées par la Commission européenne en 2010 encadrant le transfert de données personnelles vers des pays tiers sont valides. C’est ce qu’a conclu l’avocat général de la Cour de justice de l'UE (CJUE), Henrik Saugmandsgaard Øe, jeudi 19 décembre, dans ses conclusions très attendues dans l’affaire ‘Schrems II’ (C-311/18).
L’affaire remonte à 2013, quand le célèbre activiste autrichien Max Schrems a déposé une plainte contre Facebook auprès du régulateur irlandais visant à faire cesser les transferts de données de Facebook entre l’UE et les États-Unis, afin de protéger les données personnelles des Européens de la surveillance de masse outre-Atlantique. En 2015, l’affaire avait marqué les esprits en débouchant sur la décision de la CJUE d’invalider le ‘Safe Harbor’, l’ancêtre du dispositif 'Privacy Shield’.
Après des années de procédures judiciaires, en 2018, la Haute Cour de justice irlandaise a saisi la CJUE, lui demandant de se prononcer sur onze questions préjudicielles portant notamment sur le mécanisme de transfert de données par les clauses contractuelles types utilisées par Facebook, ainsi que sur la capacité du régulateur irlandais de suspendre ou d'interdire le transfert de données personnelles des utilisateurs de Facebook Ireland vers les États-Unis (EUROPE 11875/14).
Dans ses conclusions, l’avocat général propose à la Cour de justice de répondre que l’analyse des questions n’a pas révélé d’éléments de nature à affecter la validité de la décision 2010/87/UE de la Commission relative aux clauses contractuelles types, contrairement à ce que l'autorité de protection irlandaise estimait.
À l’inverse, Max Schrems, lui, ne demandait pas l’invalidité de toutes les clauses contractuelles types, mais estimait que la DPC - l'autorité de protection des données irlandaise - pourrait suspendre les transferts de données individuelles de la part de Facebook.
Dans un communiqué, il s'est dit « satisfait » des conclusions de l'avocat général et a estimé qu'il s'agissait d'un « coup dur » pour l'autorité de protection irlandaise et Facebook, ainsi qu'une « étape très importante pour la vie privée des utilisateurs ».
L'avocat général a en outre procédé à une évaluation de la validité de la décision 2010/87 au regard de la Charte des droits fondamentaux de l'UE et a conclu qu'il existe des mécanismes suffisamment solides pour suspendre les transferts en cas de violation des clauses.
Les conclusions reconnaissent aussi qu'il existe une obligation – pesant sur les responsables du traitement des données et, en cas d’inaction de ces derniers, sur les autorités de contrôle – de suspendre ou d’interdire un transfert lorsque, en raison d’un conflit entre les obligations découlant des clauses types et celles imposées par le droit du pays tiers de destination, ces clauses ne peuvent pas être respectées.
Doutes quant à la validité du ‘Privacy Shield’
Parmi les onze questions préjudicielles, certaines touchaient au dispositif transatlantique de protection des données, le ‘Privacy Shield’. Dans ses conclusions, l’avocat général indique que la résolution du litige au principal ne nécessite pas que la Cour se prononce sur la validité du dispositif.
Il expose néanmoins, à titre subsidiaire, plusieurs raisons qui l’amènent à s’interroger sur la validité du ‘Privacy Shield’ au regard des droits au respect de la vie privée et à la protection des données à caractère personnel, ainsi que du droit à un recours effectif.
Il estime en outre que le médiateur permanent ne fournit pas une voie de recours devant un organe indépendant offrant aux personnes dont les données sont transférées une possibilité de faire valoir leur droit d’accès aux données ou de contester d’éventuels manquements aux règles applicables de la part des services de renseignement.
« Après l'arrêt 'Safe Harbor', la Commission européenne a délibérément adopté une nouvelle décision invalide (...) Il sera très intéressant de voir si la Cour prendra en compte cette question dans la décision finale ou si elle attendra qu'une autre affaire soit portée devant la Cour », a déclaré Max Schrems.
Bien que non contraignantes, les conclusions de l'avocat général sont généralement suivies par la CJUE. Pour Max Schrems, néanmoins, il y a de fortes chances que l'arrêt final, qui doit être rendu en 2020, soit différent des conclusions, étant donné la nature et le nombre de questions posées. L'activiste autrichien prédit que l'arrêt de la CJUE pourrait offrir une protection de la vie privée plus stricte que les conclusions.
Voir les conclusions : https://bit.ly/2Sb3Nx1 (Marion Fontana)