Article Post on 14 September 2020

Le transfert de données à caractère personnel en dehors de l’UE/EEE, notamment aux USA : de nouveaux points d’attention pour les entreprises relevés par la jurisprudence

_Les règles relatives aux transferts des données à caractère personnel («Données Personnelles») vers des pays hors de l’Union Européenne et de l’Espace Économique Européen («Pays Tiers») et plus particulièrement, aux États-Unis, ont fait l’objet de nouveaux développements importants en jurisprudence.

En principe, les transferts de données vers des Pays Tiers ne sont permis qu’aux conditions suivantes :

  • Certains Pays Tiers peuvent être reconnus par la Commission Européenne comme assurant un niveau adéquat de protection des Données Personnelles. C’était le cas aux États-Unis notamment pour les entreprises ayant adhéré au « EU-US Privacy Shield »,
  • À défaut, le transfert de Données Personnelles doit être encadré par des garanties appropriées. Il en existe plusieurs mais les plus importantes et fréquemment usitées en pratique sont les clauses types de protection des données adoptées par la Commission Européenne (les « Clauses Contractuelles Types »).

La Cour de Justice de l’Union Européenne (ci-après « CJUE ») a eu l’occasion de se pencher dans sa décision dite « Schrems II »1 sur la validité de telles conditions au regard des droits fondamentaux consacrés par le droit de l’Union Européenne (ci-après « UE ») (I).

Outre ces conditions, des dérogations pour des situations particulières peuvent s’appliquer, comme le consentement explicite de la personne concernée. De telles dérogations doivent cependant être appliquées avec précaution et, en tout état de cause, de manière subsidiaire par rapport aux garanties appropriées. C’est sur cette base que la Cour d’appel de Luxembourg a récemment contrôlé la régularité d’un transfert de Données Personnelles vers les autorités judiciaires américaines et a rappelé les exigences strictes qui existent en la matière (II).

1. L’arrêt Schrems II : l’ « EU-US Privacy Shield » invalidé, les Clauses Contractuelles Types validées sous conditions

Pour rappel, le 25 juin 2013, Maximilian Schrems avait déposé une plainte devant l’autorité irlandaise de protection des données contre Facebook Irlande en raison de transferts de Données Personnelles vers les États-Unis qui pouvaient faire l’objet d’une surveillance de masse par les autorités publiques américaines. Après de multiples étapes procédurales ayant déjà abouti à une première décision de la CJUE, la CJUE fut à nouveau saisie sur renvoi préjudiciel pour rendre son arrêt le 16 juillet 2020.

Les questions préjudicielles soumises à la CJUE peuvent être résumées de manière brève de la manière suivante : les Clauses Contractuelles Types et le mécanisme « Privacy Shield » permettent-ils effectivement une protection adéquate des Données Personnelles en conformité avec les droits fondamentaux des personnes concernées ?

Les organismes peuvent être rassurés : la validité des Clauses Contractuelles Types est confirmée.

Cependant, la CJUE précise qu’elles ne sauraient suffire. L’exportateur des données, en collaboration avec le destinataire des données, doit s’assurer, au cas par cas, si le droit du Pays Tiers de destination assure une protection appropriée, au regard du droit de l’UE. Au besoin, des garanties supplémentaires à celles offertes par ces clauses doivent être fournies.

En particulier, lorsque le transfert des données ne peut plus être assuré conformément aux Clauses Contractuelles Types, l’exportateur doit suspendre ou mettre fin au transfert de données. Le destinataire des données doit également informer l’exportateur dès lors qu’il n’est plus en mesure de se conformer aux Clauses Contractuelles Types.

La mise en œuvre des Clauses Contractuelles Types implique donc nécessairement :

  • Une évaluation a priori des risques du transfert dans le pays de destination au vu notamment de sa législation nationale, et
  • Une veille a posteriori sur la question de savoir si les Données Personnelles sont toujours suffisamment protégées par le biais des Clauses Contractuelles Types.

Le mécanisme du « Privacy Shield »2 est cependant invalidé par la CJUE au motif que la réglementation américaine sur l'accès aux Données Personnelles par les autorités publiques nationales n’assure pas un niveau adéquat de protection.

Les transferts de Données Personnelles vers les États-Unis ne sont donc plus possibles sur la base du « Privacy Shield ».

2. Les dérogations pour des situations particulières : l’arrêt de la Cour d’appel de Luxembourg3

Les faits que la Cour d’appel de Luxembourg a eu à traiter sont particulièrement intéressants concernant les transferts vers des Pays Tiers notamment quand l’exportateur souhaite transférer des Données Personnelles à une autorité judiciaire d’un Pays Tiers.

Une succursale luxembourgeoise d’une banque suisse souhaitait transférer des données d’un compte bancaire détenu par une personne physique à l’US Department of Justice afin de négocier une réduction de peine dans le cadre d’une procédure pénale diligentée contre la banque suisse aux États-Unis.

La personne concernée s’opposait à un tel transfert de Données Personnelles, dans la mesure où elle n’avait pas donné son consentement à un tel transfert qui pouvait lui porter préjudice, que ce soit en fondant d’éventuelles poursuites contre elle aux États-Unis ou que ce soit sur sa réputation, l’identité d’un prévenu pouvant être publiée sur Internet.

En première instance, la banque obtient gain de cause au motif notamment qu’il n’est pas certain que les données transférées puissent permettre une identification de la personne concernée, les données étant pseudonymisées4.

De plus, étant en référé, le juge de première instance s’estime incompétent pour traiter des dérogations avancées par la banque notamment l’existence d’un motif d’intérêt public ou d’un intérêt légitime impérieux, dans la mesure où le juge des référés ne dispose que d’un pouvoir d’appréciation sommaire et ne peut donc apprécier de manière approfondie la régularité des dérogations dont la banque se prévaut.

La décision de première instance est, à juste titre, réformée par la Cour d’appel de Luxembourg. D’une part, elle réitère les principes largement reconnus dans la jurisprudence de la CJUE : les données pseudonymisées sont en elle-même des Données Personnelles et ne sauraient être confondues avec des données totalement anonymisées qui ne sont pas soumises aux exigences du RGPD. En effet, les Données Personnelles étant définies comme toute information se rapportant à une personne identifiable et cette notion étant très large, il n’est pas nécessaire que toutes les informations permettant d’identifier la personne concernée se trouve dans la main d’une personne : il suffit que les informations en question, recoupées avec d’autres (mêmes si détenues par des tiers), puissent raisonnablement permettre l’identification de la personne concernée. De seconde part, la Cour d’appel constate que la banque ne produit aucun élément justifiant manifestement son droit d’invoquer une des situations d’exception5. Il est intéressant de voir ici que la Cour d’appel prend le contrepied du raisonnement du juge de première instance car c’est ici à la banque de justifier, au moins de manière sommaire au stade des référés, qu’une dérogation existe à son profit.

Cette sévérité de la Cour d’appel semble être justifiée par le principe expressément énoncé selon lequel : « la protection d’une personne physique à l’égard du traitement des données à caractère personnel est un droit fondamental. Il en résulte que l’interdiction de divulguer des données à caractère personnel constitue le principe et la divulgation sous certaines conditions l’exception ».

Partant, la Cour d’appel prononce l’interdiction de procéder au transfert de Données Personnelles vers les États-Unis.

L’examen du bien-fondé des dérogations prévues à l’article 49 du RGPD n’est pas développé plus en avant par la Cour d’appel dans le présent cas. Toutefois, il aurait pu être intéressant de savoir si la banque pouvait justifier le transfert parce qu’ « il est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice » selon l’article 49 du RGPD.

En conclusion, l’ensemble de ces décisions prises au niveau national et européen rappelle qu’il est nécessaire de prendre les mesures nécessaires au-delà de la simple signature de Clauses Contractuelles Types ou l’invocation de dérogations afin d’éviter une atteinte aux droits et libertés des personnes concernées et d’éventuelles sanctions, que ce soit :

  • En évaluant la pertinence de la base utilisée pour justifier un transfert international par rapport à la situation de faits considérée, notamment le cadre réglementaire du pays destinataire des données, et en documentant cette analyse de pertinence, et
  • En surveillant que les conditions permettant la licéité du transfert soient toujours remplies en cours de transfert.

_Cet article a été précédemment publié dans AGEFI Luxembourg en septembre 2020.

1. CJUE, 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18 (« Schrems II »)

2. Le mécanisme « EU-US Privacy Shield » permettant de garantir un niveau adéquat de protection des données lors de transferts vers les Etats-Unis.

3. CA Luxembourg, 6 mai 2020, numéro de rôle CAL-2019-00731

4. La pseudonymisation consiste à traiter les données personnelles de telle manière qu'on ne puisse plus attribuer les données relatives à une personne physique sans avoir recours à des informations supplémentaires. La pseudonymisation permet de traiter les données sans pouvoir identifier ceux-ci de façon directe. Toutefois il est possible de retrouver l’identité de ceux-ci grâce à des données tierces. C’est pourquoi des données pseudonymisées demeurent des données personnelles.

5. Prévue à l’article 49 du RGPD.

Share this content