CJUE, 6 octobre 2015, Aff. C 362/14
Le Safe Harbor a été invalidé par la Cour de Justice de l’Union Européenne. Tous les transferts de données personnelles en provenance d’un Etat membre de l’UE vers les USA ne sont pas interdits…
Ce qu’il faut retenir : Le Safe Harbor a été invalidé par la Cour de Justice de l’Union Européenne. Tous les transferts de données personnelles en provenance d’un Etat membre de l’UE vers les USA ne sont pas interdits : sont interdits les transferts qui étaient effectués exclusivement dans le cadre du Safe Harbor ; demeurent autorisés les transferts effectués sur la base des clauses contractuelles types ou des BCR.
Pour approfondir : La globalisation des échanges et l’utilisation des nouvelles technologies dans les sphères privées et commerciales font croître le nombre de transferts de données à caractère personnel en dehors de la France.
La décision rendue par la Cour de Justice (CJUE, 6 octobre 2015, Aff. C‑362/14) fera date. Cette décision doit être replacée dans le contexte légal actuel, avant d’être commentée.
I. Contexte Légal
Principe d’interdiction : Les transferts de données personnelles opérés depuis le territoire européen vers des Pays situés en dehors de l’Union Européenne (UE) sont par principe interdits.
Ce principe d’interdiction est posé par l’article 68 de la Loi Informatique et Liberté (ci-après la « Loi »), transposant la directive européenne 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Cette interdiction vise les données transférées depuis le territoire européen vers un ou des pays qui n’appliquent pas les dispositions de la directive 95/46/CE (il s’agit des pays qui ne sont ni membres de l’UE, ni membres de l’Espace économique européen) ; cette interdiction ne concerne pas l’Islande, le Liechtenstein et la Norvège, puisque ces pays ont transposé dans leur législation nationale les dispositions de la directive précitée (ces pays et les 27 Etats membres de l’UE constituent l’Espace économique européen).
Ce transfert concerne par exemple la communication, copie ou déplacement de données, par l’intermédiaire d’un réseau (ex : accès à distance à une base de données) ou d’un support à un autre, quel que soit d’ailleurs le type de support considéré (ex. d’un disque dur d’ordinateur à un serveur).
Exceptions : Cinq types d’exceptions (et désormais quatre, du fait de la décision qui vient d’être rendue) permettent néanmoins de déroger à ce principe d’interdiction ; il en va ainsi en présence :
- de Pays offrant selon la Commission européenne un niveau de protection des données suffisant,
- de Clauses Contractuelles Types,
- de BCR,
- des situations prévues à l’article 69 de la Loi et, on y reviendra plus longuement,
- du safe harbor.
Toujours est-il qu’un transfert de données hors UE, comme une communication de données à un tiers sur le territoire français, constitue un « traitement de données à caractère personnel ».
Lorsqu’il est admis au titre de l’une de ces exceptions, il n’en demeure pas moins soumis à ce titre à l’ensemble des dispositions de la Loi.
En conséquence :
– tout transfert de données doit avoir une finalité déterminée, explicite et légitime ;
– les données transférées ne doivent pas être traitées ultérieurement de manière incompatible avec cette finalité ;
– les données transférées doivent être adéquates, pertinentes et non excessives au regard de la ou des finalités pour lesquelles elles sont transférées ;
– les personnes dont les données sont transférées doivent être informées de l’existence de ce transfert (Article 91 du décret de 2007) ;
– la durée de conservation par l’importateur des données transférées ne doit pas être excessive ;
– les personnes concernées disposent d’un droit d’accès à leurs données qui sont transférées et d’un droit de rectification, ainsi même que d’un droit d’opposition, pour des motifs légitimes, au transfert de leurs données ;
– des mesures techniques de sécurité doivent être mises en place afin de protéger les données contre tout accès par un tiers non autorisé et contre toute destruction, altération ou diffusion non autorisées desdites données.
En particulier, afin de garantir un traitement légitime des données personnelles, il y a lieu d’informer les personnes concernées, avant tout transfert, de ce que leurs données feront l’objet d’un transfert vers un pays tiers. Les personnes concernées doivent notamment être informées de la finalité du transfert, du ou des pays destinataires, de la nature des données transférées, de la ou des catégories de destinataires, du niveau de protection offert par le pays destinataires, ainsi que de leurs droits d’accès, de rectification et d’opposition.
En cas de non-respect des règles de transferts de données hors de l’UE, des sanctions pénales et administratives peuvent être prononcées. En premier lieu, des sanctions pénales peuvent être prononcées par les juridictions répressives compétentes (jusqu’à 300 000 € d’amende pour les personnes physiques ; 1,5 million d’€ pour les personnes morales, et 5 ans d’emprisonnement). En second lieu, la CNIL peut prononcer des sanctions administratives. Selon l’article 45 de la Loi, la CNIL peut prononcer un avertissement, et/ou mettre en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe.
Après mise en demeure, la CNIL peut prononcer à l’encontre du responsable de traitement (i) une sanction pécuniaire (allant de 150.000 € pour le premier manquement à 300.000 € en cas de manquements réitérés, ou 5% du chiffre d’affaires dans la limite de 300.000 € pour les entreprises) et/ou une injonction de cesser le traitement ou un retrait de l’autorisation accordée.
Pays offrant un niveau de protection des données suffisant (première exception) : Ce faisant, la Commission européenne peut tout d’abord constater qu’un Etat n’appartenant pas à l’UE assure un tel niveau de protection. Tel est le cas d’Andorre, de l’Argentine, du Canada, des Iles Féroé, de l’Ile de Man, de Guernesey, de Jersey, d’Israël, de l’Uruguay et de la Suisse. Cette liste, qui évolue, peut être consultée sur le site de la CNIL.
Clauses Contractuelles Types (deuxième exception) : Il s’agit de modèles de clauses contractuelles adoptées par la Commission européenne qui permettent d’encadrer les transferts de données personnelles hors de l’UE. Elles ont pour but de faciliter la tâche des responsables de traitement dans la mise en œuvre de contrats de transfert. Il existe deux types de clauses afin d’encadrer chacun de ces transferts. On distingue les transferts de responsable de traitement à responsable de traitement (un premier ensemble résulte de la décision de la Commission du 15 juin 2001 (2001/497/CE) et un second de la décision de la Commission du 24 décembre 2004 (2004/915/CE) modifiant la décision 2001/497/CE) et les transferts de responsable de traitement à sous-traitant (Les Clauses Contractuelles Types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers résultent de la décision de la Commission du 5 février 2010 (2010/87/UE). Ce jeu de clauses remplace, depuis le 15 mai 2010, les Clauses contractuelles antérieures de 2001 (décision 2002/16/CE)).
BCR (troisième exception) : Les BCR est l’acronyme de l’expression « Binding Corporate Rules » ; il s’agit en quelque sorte d’un code de conduite interne qui définit la politique d’un groupe en matière de transferts de données personnelles hors de l’UE. Les BCR doivent être contraignantes et respectées par toutes les entités du groupe, quel que soit leur pays d’implantation, ainsi que par tous leurs salariés. Le G29 (Groupe des CNIL européennes) a adopté plusieurs documents présentant les exigences requises dans les BCR. Les BCR constituent une alternative aux Clauses Contractuelles Types puisqu’elles permettent d’assurer un niveau de protection suffisant aux données transférées hors de l’UE. Les BCR constituent aussi une alternative aux principes du safe harbor pour les transferts vers les Etats-Unis. Les entreprises concernées sont les multinationales exportant des données depuis leurs entités situées au sein de l’UE vers des pays tiers n’assurant pas un niveau de protection équivalent à celui de l’UE.
Article 69 de la Loi Informatique et Liberté (quatrième exception) : Ces exceptions sont prévues à l’article 69 de la Loi :
– soit la personne a expressément consenti au transfert de ses données personnelles ;
– soit le transfert s’avère nécessaire à l’une des conditions suivantes :
- la sauvegarde de la vie de cette personne ;
- la sauvegarde de l’intérêt public ;
- le respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice ;
- la consultation, dans des conditions régulières, d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime ;
- l’exécution d’un contrat entre le responsable du traitement et l’intéressé, ou de mesures précontractuelles prises à la demande de celui-ci ;
- la conclusion ou l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers.
Ces exceptions, prévues à l’article 69 de la Loi ne s’appliquent pas à la relation de responsable de traitement à sous-traitant.
Safe Harbor (cinquième exception, actuellement en suspend) : Il s’agit d’un ensemble de principes de protection des données personnelles publié par le Département du Commerce américain, auquel des entreprises établies aux Etats-Unis adhèrent volontairement afin de pouvoir recevoir des données à caractère personnel en provenance de l’UE ; ces principes, négociés en 2001 entre les autorités américaines et la Commission européenne, sont essentiellement fondés sur ceux de la Directive 95/46 du 24 octobre 1995. La liste des entreprises ayant adhéré aux principes du safe harbor est accessible sur le site internet du Département du Commerce américain.
Jusqu’à la décision commentée, rendue le 6 octobre 2015, le safe harbor permettait donc d’assurer un niveau de protection suffisant pour les transferts de données en provenance de l’UE vers des entreprises établies aux Etats-Unis.
II. Décision du 6 octobre 2015 et perspectives
Décision du 6 octobre 2015 : Par une décision du 6 octobre 2015, la CJUE a invalidé la décision par laquelle la Commission européenne avait constaté que les États-Unis assurent un niveau de protection suffisant des données à caractère personnel européennes transférées.
Cet arrêt est fondamental pour la protection des données. On l’a vu plus haut, le transfert de données à caractère personnel vers un pays tiers à l’UE est, en principe, interdit, sauf si le pays de destination assure un niveau de protection suffisant (ou « adéquat ») des données personnelles. La Commission européenne peut donc constater qu’un Etat n’appartenant pas à l’UE assure un tel niveau de protection. C’est ce qu’elle avait fait, pour ce qui concerne les Etats-Unis, à propos de la « sphère de sécurité » (« safe harbor ») par une décision du 26 juillet 2000.
Mais, saisie par une question préjudicielle, la CJUE vient de juger que, pour se prononcer sur le niveau de protection assuré par la « sphère de sécurité », la Commission européenne ne pouvait se limiter à la seule analyse de ce régime, mais devait apprécier si les Etats-Unis assuraient effectivement, par leur législation ou leurs engagements internationaux, « un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte ». La CJUE a relevé que les autorités publiques américaines peuvent accéder de manière massive et indifférenciée aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées, ce d’autant qu’au regard de la hiérarchie des normes, les entreprises américaines sont tenues de se soumettre aux législations américaines d’ordre public et doivent, par suite, écarter « sans limitation », sans restriction, l’application des clauses du « safe harbor » qui leur seraient contraires. Dans ce contexte, la CNIL (avec ses homologues du G29) avait déjà attiré l’attention depuis plusieurs années sur la situation ainsi créée par la législation américaine et sur le caractère disproportionné d’une collecte massive et indifférenciée des données. La CNIL avait aussi attiré l’attention sur les insuffisances du « safe harbor ».
En l’espèce, constatant que la Commission n’avait pas recherché si les Etats-Unis « assurent » effectivement une protection adéquate, la Cour prononce ainsi l’invalidation de la décision d’adéquation. La Cour a également jugé que, même en présence d’une décision de la Commission européenne reconnaissant le caractère adéquat de la protection, les autorités nationales de protection des données (telles que la CNIL) doivent pouvoir examiner, en toute indépendance, si le transfert des données d’une personne vers un pays tiers respecte les exigences posées par la directive. Elle en a déduit qu’une autorité nationale devait pouvoir, en cas de doute sur la validité d’une décision d’adéquation de la Commission, saisir les juridictions nationales pour que celles-ci puissent, le cas échéant, renvoyer l’affaire devant la Cour de justice. A cet égard, la décision de la Commission européenne invalidée ne pouvait priver les autorités de contrôle d’une telle possibilité.
Concrètement, l’invalidation de la décision de la Commission européenne qui reconnaissait l’adéquation du « safe harbor » pose donc la question du niveau de protection des données personnelles transférées aux Etats-Unis. Les autorités de protection des données devront examiner la validité des transferts qui leur sont soumis, en tenant compte du fait que la situation américaine n’est donc pas « adéquate ».
Perspectives : La CNIL et ses homologues européens (constitué autour du G29) se sont réunis le 15 octobre 2015 pour analyser les conséquences de la décision commentée invalidant le safe harbor. Elles ont adopté une approche commune sur la question, en demandant aux institutions européennes et aux gouvernements concernés de trouver des solutions juridiques et techniques, avant le 31 janvier 2016.
En premier lieu, le G29 souligne que la question de la surveillance massive et indiscriminée est au cœur de l’arrêt invalidant la décision de safe harbor du 26 juillet 2000. Le G29 rappelle aussi qu’il a toujours considéré qu’une telle surveillance était incompatible avec le cadre juridique européen et que les outils de transferts ne pouvaient constituer une solution à ce problème. Par ailleurs et comme le G29 l’a déjà indiqué, les pays tiers à l’UE dans lesquels des autorités publiques accèdent aux informations personnelles, ne peuvent être considérés comme des destinations sûres dans le cadre de transferts. A cet égard, la décision de la CJUE implique que chaque décision d’adéquation résulte d’une analyse approfondie des lois nationales du pays tiers ainsi que des accords internationaux.
Par conséquent, le G29 demande aux Etats membres et aux institutions européennes d’engager au plus vite les discussions avec les autorités américaines afin de trouver des solutions politiques, juridiques et techniques permettant de transférer des données vers le territoire américain dans le respect des droits fondamentaux.
De telles solutions pourraient intervenir dans le cadre de négociations d’un accord intergouvernemental offrant des garanties fortes aux citoyens européens. Les négociations actuelles portant sur un nouvel accord safe harbor pourraient constituer une partie de la solution. Dans tous les cas, ces solutions devront s’appuyer sur des mécanismes clairs et contraignants et comporter au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques, la transparence, la proportionnalité, l’existence de mécanismes de recours et la protection des droits des personnes.
Aussi, le G29 poursuit son analyse de l’impact de la décision de la CJUE sur les autres outils de transfert (BCR, clauses contractuelles types) mais considère que durant cette période, ces outils peuvent encore être utilisés par les entreprises. Les autorités de protection des données se réservent la possibilité de contrôler certains transferts, notamment à la suite des plaintes qu’elles pourraient recevoir. Si aucune solution satisfaisante n’était trouvée avec les autorités américaines avant la fin du mois de janvier 2016 et en fonction de l’évaluation en cours des outils de transferts par le G29, les autorités s’engagent à mettre en œuvre toutes les actions nécessaires, y compris des actions répressives coordonnées.
Au regard de la décision de la CJUE, il apparait très clairement que les transferts de données depuis l’UE vers les Etats-Unis ne sont plus possibles sur la base de la décision de safe harbor du 26 juillet 2000. En tout état de cause, les transferts qui s’opèreraient encore sur cette base juridique sont illégaux.
Afin d’informer l’ensemble des parties prenantes, les autorités de protection des données européennes vont lancer des campagnes d’information au niveau national, comprenant une information ciblée auprès des entreprises ayant déjà réalisé des transferts sur la base du safe harbor et une information générale sur les sites des autorités. Enfin, le G29 tient à insister sur les responsabilités partagées des autorités de protection, des institutions européennes, des Etats membres et des entreprises pour élaborer des solutions robustes. Dans ce contexte, les entreprises doivent en particulier mettre en œuvre des solutions juridiques et techniques pour limiter les risques éventuels qu’elles prennent en transférant des données à l’étranger, quant au respect des droits fondamentaux des personnes.