On ne veut pas d'un arrêt 'Schrems III' ! Jeudi 3 septembre, le mot d'ordre était clair en commission des libertés civiles du Parlement européen, où l'on a consacré un débat de deux heures aux retombées de l'arrêt de la Cour de justice du 16 juillet (C-311/18).
Depuis cette date, le transfert de données personnelles entre l'Europe et les États-Unis est dans le flou, avec l'invalidation immédiate de l'accord-cadre passé entre les deux parties, le Privacy Shield (EUROPE 12529/2).
Dans son arrêt, la Cour a estimé que les données personnelles des Européens n'étaient pas suffisamment protégées contre le programme de surveillance américain et que ceux-ci ne bénéficiaient pas de voies de recours suffisantes.
Mise à jour des clauses contractuelles types
Devant les eurodéputés, le commissaire à la Justice, Didier Reynders, a indiqué qu'il œuvrait actuellement à la recherche d'une solution pérenne. Il a rappelé être en contact étroit avec les autorités de protection des données, le Comité européen de la protection des données (CEPD) ainsi que son homologue américain. Il a également fait savoir que la Commission ferait circuler, dès ce mois-ci, une première mouture des nouvelles clauses contractuelles types, en préparation depuis de nombreux mois. Selon lui, la phase de finalisation interviendra d'ici la fin de l'année, une fois que le CEPD aura donné son avis et que les États membres se seront prononcés par voie de comitologie.
La Cour n'a pas invalidé la décision [de 2010] sur les clauses contractuelles types, mais elle a précisé qu’il fallait les évaluer dans le contexte précis dans lequel elles sont utilisées.
« Les clauses contractuelles types ne peuvent pas légalement soutenir le transfert de données si le destinataire n'est pas en mesure de s'y conformer et si aucune mesure supplémentaire n'est disponible pour compenser », a clarifié devant les députés la présidente du CEPD, Andrea Jelinek. Elle a rappelé que le comité avait déjà publié une première analyse de l'arrêt et qu'il s'apprêtait à « publier des recommandations pour aider les contrôleurs à identifier et mettre en œuvre des mesures complémentaires appropriées » (EUROPE 12536/9).
M. Reynders a expliqué que la modernisation tiendrait compte des nouveaux critères du règlement général de protection des données (RGPD), notamment en ce qui concerne la relation entre l'instance qui traite les données et le contrôleur, les obligations de cette instance, ou encore les obligations de transparence de l'importateur de données. Cette modernisation s'attaquera aussi aux situations de transferts qui ne sont pas couvertes par les clauses contractuelles types actuelles (depuis une instance européenne vers une sous-instance européenne). Enfin, elle tentera de mieux refléter la réalité du traitement.
Une réponse géopolitique
Lors de l'échange de vues, de nombreux eurodéputés, appuyés par le juriste à l'origine de l'affaire, ont fait savoir qu'une solution purement technique ne serait pas suffisante.
« Il n'y a pas de place pour un accord exécutif si, au niveau législatif, nous avons simplement deux obligations contradictoires, d'un côté la surveillance, et de l'autre la vie privée », a déclaré M. Schrems, rappelant qu'il avait déjà déposé 101 plaintes pour dénoncer la poursuite de transferts transatlantiques illégaux (EUROPE 12545/3).
Le commissaire européen, lui aussi, a reconnu qu'il s'agissait d'une discussion politique avec les Américains. « Il est possible de s'appuyer sur des éléments actuels, mais il pourrait y avoir besoin d'introduire des changements législatifs », a-t-il souligné, insistant toutefois sur l'existence d'un climat plus positif actuellement aux États-Unis qu'en 2016, au moment d'établir le Privacy Shield.
De son côté, Max Schrems a réclamé des clarifications à court terme sur les dérogations offertes par l'article 49 du RGPD ainsi que des clarifications de la part des Américains sur leur loi sur la surveillance des renseignements étrangers (FISA). À plus long terme, nous avons besoin d'une vision commune de l'étendue de la surveillance et d'un changement dans la loi américaine, a-t-il estimé.
Le juriste autrichien a également évoqué plusieurs pistes en détail, comme l'idée de faire appliquer directement le RGPD par l'instance qui traite les données ou la possibilité d'être informé quand la surveillance s'applique. Sur les clauses contractuelles types, il a suggéré la création d'une autocertification européenne, qui serait, selon lui, « plus facile techniquement et aussi forte légalement » que l'autocertification américaine. (Sophie Petitjean)