Le droit européen harmonise la protection des données personnelles au sein de l’Union européenne, au moyen de plusieurs directives et, en dernier lieu, du réglement 2016/679 du 27 avril 2016 (RGPD). Ces intruments juridiques assurent que les données personnelles des citoyens d’un État membre peuvent être transférées dans un autre État membre sans abaissement du niveau de protection et de garantie de leurs droits.

Sur Internet, berceau et foyer de nombreuses données personnelles, les opérateurs européens sont bien fragiles alors que de nombreux opérateurs américains sont en situation de position dominante. Que l’on songe simplement aux principaux réseaux sociaux utilisés par les européens : tous dépendent de sociétés américaines, qui traitent les données personnelles de leurs usagers sur le sol américain. Or, le droit fédéral américain ne possède aucun instrument de protection globale des données personnelles tel que le RGPD européen. Si certains États fédérés, comme la Californie, ont envisagé d’adopter une approche semblable à celle du droit européen, à l’échelle fédérale, la liberté de collecte et de traitement des données est le principe – à tel point qu’une partie de la doctrine suggère la création d’un “droit de propriété” sur les données. Cette liberté n’est restreinte que pour certains secteurs particuliers de l’économie ou lorsqu’un dommage est causé par une opération de collecte ou de traitement.

Dès lors, comment assurer aux européens le maintien du niveau de protection de leurs droits, lorsque leurs données personnelles sont transférées aux États-Unis ? L’on peut imaginer deux réponses différentes, selon un schéma classique inspiré du droit du travail : la négociation collective et la négociation individuelle. La méthode collective consiste à créer un ensemble de règles, négociées entre la Commission européenne et le gouvernement américain, auquel les opérateurs américains peuvent adhérer. Tout opérateur américain qui respecte ces règles est présumé fournir un degré de protection des données égal à celui du droit européen, si bien qu’il est autorisé à traiter des données en provenance d’Europe. La méthode individuelle suppose, quant à elle, de négocier au cas par cas les conditions de collecte et de traitement des données personnelles, entre deux opérateurs (l’exportateur européen des données et leur importateur étranger) et entre ces opérateurs et les internautes.

Le 26 juillet 2000, la Commission européenne a instauré le Safe Harbor, premier mécanisme collectif visant à garantir un niveau de protection suffisant aux États-Unis des données personnelles en provenance d’Europe. Le Safe Harbor fut annulé par la Cour de justice de l’Union européenne, par arrêt du 6 octobre 2015. La Commission européenne a donc créé un nouveau mécanisme, destiné à remplacer le Safe Harbor tout en répondant à la même logique : le Privacy Shield. À son tour, le Privacy Shield vient d’être annulé par la CJUE dans son arrêt du 16 juillet 2020.

Un ressortissant autrichien résident en Autriche, le désormais célèbre Schrems, utilisateur de Facebook depuis 2008, s’est interrogé sur la licéité des transferts de données vers les États-Unis par ce réseau social. En effet, chaque utilisateur européen de Facebook conclut, lors de son inscription au réseau social, un contrat avec la filiale irlandaise (Facebook Ireland) de l’entreprise américaine (Facebook Inc). Les données fournies par les utilisateurs à l’occasion de leur usage du réseau social sont transférées sur des serveurs appartenant à la maison mère américaine et situés sur le sol des États-Unis, où elles subissent divers traitements.

Schrems a fait valoir devant les juridictions irlandaises que le droit des États-Unis n’assurait pas un niveau suffisant de protection des données personnelles, permettant le transfert de données originaires d’Europe. En particulier, le droit américain impose aux entreprises locale de mettre les données récoltées à disposition de certaines agences de renseignement telles que la NSA ou le FBI. Les juridictions irlandaises ont alors saisi la Cour de justice de l’Union Européenne, lui posant plusieurs questions préjudicielles.

La première question portait sur le champ d’application du RGPD : si les données recueillies par Facebook Ireland sont simplement transférées sur des serveurs américains placés sous l’autorité de Facebook Inc., un tel transfert constitue-t-il un traitement de données au sens du RGPD ? C’est sans surprise que la Cour de Luxembourg répond par l’affirmative, retenant ainsi une définition large de la notion de traitement.

“L’opération consistant à faire transférer des données à caractère personnel depuis un État membre vers un pays tiers constitue, en tant que telle, un traitement de données à caractère personnel.” (point 83)

La question suivante portait sur la grille d’analyse à utiliser pour déterminer si le pays tiers vers lequel les données personnelles sont exportées offre un niveau suffisant de protection de ces données. Pour la Cour, deux éléments doivent être pris en compte : le droit de l’État de destination des données et les clauses contractuelles liant l’exportateur et l’importateur des données. Une telle réponse ne surprend pas ; pourtant, c’est en elle que réside la portée de l’arrêt. En effet, les deux éléments peuvent se compléter, l’un peut se substituer à l’autre, de telle manière que si le droit américain devait être jugé insuffisamment protecteur des droits des européens, ces droits pourraient tout de même (en théorie) être garantis par des clauses contractuelles entre l’exportateur européen et l’importateur américain, ce qui rendrait l’exportation des données conforme au droit européen. L’on retrouve la complémentarité des deux méthodes précédemment évoquées, la négociation collective et la négociation individuelle.

La Cour poursuit son raisonnement en analysant les deux éléments.

Elle conclut d’abord à la conformité au droit européen de la “décision CPT” de la Commission européenne, qui contient des modèles de clauses que les exportateurs européens et les importateurs étrangers peuvent insérer dans les contrats qui les lient. Toutefois, il faut bien comprendre que si ces clauses sont valables, c’est en raison de leur caractère générique : elles ne concernent pas un pays déterminé. En outre, leur effet obligatoire est nécessairement limité aux parties au contrat (exportateur et importateur des données), et elles ne peuvent pas contraindre les autorités publiques de l’État de destination, qui sont des tiers au contrat. C’est pour ces deux raisons que ces clauses ne peuvent pas toujours suffire, à elles seules, à justifier un transfert de données (point 133).

Il en découle que la méthode de négociation individuelle impose aux opérateurs la charge très lourde de vérifier que le droit de l’État de destination des données offre un niveau de protection adéquat. Il s’agit là d’une véritable obligation, et non d’une simple recommandation. Or, on imagine mal, par exemple, une PME française hébergeant ses données sur le cloud de Google se lancer dans une analyse de la législation américains sur les services de renseignement, afin de déterminer si ses données sont à l’abri des intrusions injustifiées –selon le droit européen– de la NSA ou du FBI !

“Il en résulte que le responsable du traitement établi dans l’Union et le destinataire du transfert de données à caractère personnel sont tenus de vérifier, au préalable, le respect, dans le pays tiers concerné, du niveau de protection requis par le droit de l’Union.” (point 142)

La Cour conclut ensuite que la “décision BPD”, selon laquelle le Privacy Shield assure un niveau de protection des données conforme au droit européen, n’est pas conforme au droit européen.

La Cour observe que la décision BPD prévoit une dérogation très générale aux principes qu’elle énonce, afin de satisfaire aux “exigences relatives à la sécurité nationale, [à] l’intérêt public et [au] respect de la législation” des États-Unis. Elles conclut que la décision BPD consacre “la primauté de ces exigences sur lesdits principes” (point 164), obligeant les opérateurs américains à violer les règles européennes de protection des données pour se conformer aux lois américaines. Or, la Cour parvient à la conclusion, au terme d’une analyse très technique, que le droit américain connaît certains mécanismes autorisant le traitement des données par des autorités publiques d’une manière disproportionnée eu égard à leurs finalités (point 184). Il s’ensuit que le droit américain autorise des traitements de données qui ne sont pas nécessaires au sens du droit européen, et qui ne sont donc pas conformes à ce dernier. Mais il y a plus. Lorsque ces traitements sont mis en œuvre, la Cour estime que le droit américain ne fournit pas de recours juridictionnels suffisants aux personnes concernées, ce qui constitue une raison supplémentaire pour laquelle le droit américain n’assure pas un niveau de protection adéquat des données (points 192 et 197). Il s’ensuit que le Privacy Shield et la “décision BPD” sont invalides (point 201).

Le Privacy Shield est tombé dès la publication de l’arrêt de la Cour de justice de l’Union européenne. En conséquence, les transferts de données fondés uniquement sur ce mécanisme sont désormais contraires au droit européen et, partant, illicites. Au contraire, les transferts de données fondés sur des clauses contractuelles spécifiquement négociées entre l’exportateur et l’importateur peuvent, en théorie, demeurer licites. En pratique, il appartiendra aux entreprises européennes qui exportent des données vers les États-Unis de démontrer, au cas par cas, que l’importateur américain des données garantit un niveau de protection suffisant. Or, l’on voit mal comment une entreprise américaine pourrait démontrer que les données qu’elle importe sont à l’abri de la surveillance mise en œuvre par les agences américaines de renseignement… Tout transfert de données vers les États-Unis comporte donc un risque qui est aujourd’hui la source, pour les exportateurs européens, d’une forte insécurité juridique.