Après le Safe Harbor, Max Schrems va-t-il couler le dispositif 'Privacy Shield' ? La Cour de justice de l'Union européenne doit en effet rendre, jeudi 16 juillet, son arrêt dans l'affaire 'Schrems II' (EUROPE 12292/15).
Cette décision pourrait invalider les modèles de contrats (clauses contractuelles types) mis au point par la Commission européenne pour encadrer le transfert de données de l'UE vers des pays tiers, voire suspendre le bouclier de protection des données transatlantique.
Un long passif
Cette affaire (C-311/18) trouve son origine en 2013. Après les révélations d'Edward Snowden sur les programmes de surveillance américains ciblant les personnes vivant hors des États-Unis, le juriste autrichien et fondateur de l'ONG NOYB ('None of your business'), Max Schrems, avait saisi l'autorité irlandaise de protection des données (DPC) pour mettre un terme au flux de données entre le siège européen de Facebook, basé en Irlande, et sa maison-mère en Californie.
Sa plainte avait abouti, en 2015, à une décision de la Cour de justice de l'UE invalidant l'accord encadrant le transfert des données personnelles entre l'UE et les USA, le 'Safe Harbor'.
Mais l'affaire ne s'était pas arrêtée là, puisqu'en novembre 2016, l'autorité irlandaise de protection des données avait signifié à M. Schrems que les transferts effectués par Facebook ne relevaient pas du Safe Harbor, mais bien d'un autre mécanisme : les « clauses contractuelles types ».
Les clauses contractuelles en ligne de mire
En 2016, le contexte réglementaire a radicalement changé, puisque le Safe Harbor a été remplacé par un nouveau mécanisme d'autocertification pour les entreprises établies aux États-Unis et jugé suffisamment protecteur de la vie privée par la Commission européenne, dit 'Privacy Shield'. Et le règlement général sur la protection des données (RGPD) a été adopté.
Face à la requalification par Max Schrems de sa plainte, la DPC a décidé de saisir à nouveau la Cour de justice de l'UE. D'où l'appellation de l'affaire 'Schrems II'.
Au vu du contexte, l'arrêt de la Cour devrait avant tout concerner la validité de la décision (2010/87/UE) établissant des « clauses contractuelles types » (SCC) pour le transfert de données hors UE.
Mais l'arrêt pourrait aussi être plus large et suivre la voie tracée par l'avocat général de la Cour en 2019, Henrik Saugmandsgaard Øe (EUROPE 12394/7). Dans ses conclusions, celui-ci a considéré la décision de 2010 sur les clauses SCC comme valides, mais il a fortement critiqué le 'Privacy Shield', y compris l'absence de recours effectif.
Quelles conséquences pour les entreprises ?
Du côté des entreprises, c'est la panique. Elles font valoir que l'invalidation des clauses contractuelles types et/ou du Privacy Shield mènerait à des incertitudes sur la manière de transférer des données vers l'étranger dans le futur.
Et un observateur de faire valoir que, contrairement à 2015, il n'y a ici « pas de Plan B ». Lors que le Safe Harbor avait été invalidé, les parties réfléchissaient déjà à son remplaçant, ce qui n'est pas le cas ici, a-t-il avancé.
La Commission dans l'expectative
En commission des libertés civiles du Parlement européen, le commissaire chargé de la justice, Didier Reyners, a rappelé, lundi 13 juillet, que la Commission avait entrepris depuis un certain temps de moderniser les clauses contractuelles types, afin de « renforcer le niveau de protection garanti par ces clauses, en ligne avec les exigences du RGPD, tout en s’assurant qu’elles couvrent un plus grand nombre de types de transfert ».
Toutefois, ce chantier est conditionné à la décision de la Cour de justice, a-t-il fait savoir.
M. Reynders a également indiqué que la Commission attendait la décision des juges européens pour publier son évaluation des onze décisions d'adéquation adoptées en vertu de la directive de 1995, le prédécesseur du RGPD (EUROPE 12513/10).
Il a promis que cette analyse serait publiée « après l'été », ajoutant que l'arrêt nécessiterait certainement des discussions approfondies avec les pays concernés, voire de négocier des sauvegardes additionnelles.
« La Commission pourrait retirer certaines décisions d'adéquation ou en amender certaines qui ne seraient plus en ligne avec le règlement général sur la protection des données », a-t-il toutefois lâché. (Sophie Petitjean)