A la suite de l’arrêt "Data Protection Commissioner" contre Facebook Ireland Ltd et Maximillian Schrems, du 16 juillet 2020, nous pouvons lire ici et là, la prose de très honorables confrères et consultants cherchant des biais juridiques pour permettre à AWS et autres GAFA de continuer de procéder comme avant.

Sont invoqués pêle-mêle le recours aux BCR, aux codes de conduite, à des SCC renforcées, etc.

Revenons un instant sur la décision Schrems II et sur son enseignement fondamental (l’invalidation du Privacy Shield n’en est que la conséquence) après quelques digressions sur les SCC.

Après l’arrêt « Schrems II » de la CJUE du 16 juillet 2020, j’entends et lis, ici et là, de très honorables confrères et consultants qui sont en train de chercher des biais juridiques pour permettre à AWS et autres GAFA de continuer de procéder comme avant.

La validation des SCC : pas de surprise.

A défaut d’avoir identifié des éléments de nature à affecter la validité de cette décision, la CJUE valide les clauses contractuelles types (« Standard Contractual Clause » ou « SCC ») de la Commission.

Ceci est une excellente nouvelle pour tous les opérateurs qui travaillent avec des pays qui sont (encore) reconnus comme adéquats.

Le véritable enseignement de l’arrêt Schrems II.

L’essentiel de la décision tient au fait que pour invalider le Privacy Shield, la CJUE met en exergue le fait que le corpus juridique américain octroie des droits aux autorités US, mais ne respecte pas les droits fondamentaux octroyés aux citoyens européens par la Charte des Droits fondamentaux.

En l’espèce, c’est l’absence de droit à un recours effectif et à accéder à un tribunal impartial face aux pouvoirs de certaines administrations (plus précisément le FBI et le NSA) qui a été soulevé par Maximilian Schrems.

La CJUE a considéré que les dispositifs de la loi américaine portaient atteinte à l’article 47 de la Charte - qui sous-tend le RGPD.

C’est donc un problème structurel de contenu de la loi américaine qu’a mis en exergue l’arrêt Schrems II et notamment le pouvoir de certaines administrations, dont l’activité échappe au contrôle du pouvoir judiciaire, outre le fait que les citoyens non-américains n’ont pas accès à toutes les voies de droit ordinairement reconnues aux citoyens US.

Le véritable enseignement de cette décision Schrems II est de rappeler que la Charte des Droits fondamentaux (dont le droit de recours juridictionnel efficace) et les droits des citoyens européens priment et gouvernent les droits des pays tiers ; si les entreprises veulent traiter hors d’Europe les données personnelles collectées en Europe, c’est dans le respect de cette charte.

Auxdits pays d’adapter leur législation locale, comme est en train de le faire - dans une certaine mesure - la Californie.

Alors, que faire pour continuer à exporter des données vers les USA et les y traiter ?

L’article 46.1 du RGPD : un vrai faux ami ?

A coté de la décision d’adéquation de l’article 45, le transfert de données vers des pays tiers est possible en vertu de l’article 46.1 du RGDP.

Cet article dispose :

"1. En l’absence de décision en vertu de l’article 45, paragraphe 3 (NDLR : décision d’adéquation), le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives".

Cet article prévoit donc deux conditions cumulatives pour légitimer le transfert :
1ère condition : « l’existence de garanties appropriées prévues par le RT ou le ST… »
Ces garanties appropriées sont celles prévues au paragraphe 2 du même article, dont les fameuses SCC analysées par le CJUE.

Ces SCC ou les Règles d’Entreprise Contraignantes ou les codes de conduite sont des instruments conventionnels et volontaires, de politique interne aux entreprises, qui engagent les signataires dans le cadre de leurs relations contractuelles réciproques.

On parle donc ici d’exigences internes et propres au responsable du traitement ou au sous-traitant.

2ème condition : (…) « et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives ».
Dans cette deuxième condition, on parle, à notre sens, non pas de droit contractuellement reconnus mais bien de droits reconnus par la législation locale afférente aux libertés publiques.

Or c’est bien sur cette deuxième condition que le bât blesse : la décision Schrems II invalide le « Privacy Shield », précisément parce que les citoyens européens ne disposent pas de droits opposables et de voies de droit effectives face à l’administration américaine [1] en vertu de la loi américaine.

Donc, si l’on considère qu’en vertu des SCC, BCR et autres, Facebook Ireland peut transférer - légitimement - les données vers une autre entité du groupe Facebook hors de l’Europe, encore faut-il que la législation du pays de destination octroie aux personnes concernées des voies de droit effectives …. mais les USA ne peuvent pas être ce pays, parce que la CJUE nous le dit concomitamment - au visa des points 181, 182 et 196 de la décision.

Il est possible de tergiverser et de retourner le problème dans tous les sens mais dès lors que les données des citoyens européens finissent à un moment ou à un autre dans un Data Center où les lois américaines [2] s’appliquent (et même si les données y arrivent légitimement via des SCC ou des BCR), le transfert expose les personnes concernées aux pouvoirs de l’administration américaine et sans que soient reconnus aux personnes concernées situées en Europe des voies de recours pertinentes.

Cette décision Schrems II indique que l’on peut sortir d’Europe des données personnelles (notamment via les SCC) mais sous réserve que le pays destinataire respect les droits fondamentaux de la Charte.

L’invalidation de la décision d’adéquation a en réalité détruit une présomption qui permettait ce transfert, empêchant d’user directement de l’article 45 du RGPD mais aussi, indirectement, de l’article 46.1 puisque manque, en ce qui concerne les USA, la deuxième condition.

Dans le cadre des Analyses d’Impact préalables à un transfert hors de l’Europe, qui doivent intégrer l’analyse du contexte [3], l’analyse de la législation locale relative à l’existence de droits opposables et de voies de droit effectives va donc prendre une place essentielle.

Au delà, à quelles autres solutions recourir ?

Au regard de ce constat, on pourrait envisager plusieurs solutions :
1° - la modification de la loi américaine (voire de la constitution si l’on en croit certains juristes américains) pour garantir des voies de droit efficientes aux citoyens non-américains (qui, rappelons-le, font l’objet d’une discrimination judiciaire du fait de leur nationalité) : autant dire qu’on a le droit d’être hésitant quant à la date à laquelle cela pourrait intervenir aux vues des principes politiques à l’œuvre aux USA en ce moment.

2° - la fin des transferts vers les USA et traitement des données exclusivement sur le territoire européen ou dans d’autres pays (encore) reconnus comme adéquats.
Nous nous interrogions sur le fait de savoir pourquoi précisément ces traitements avaient lieu aux USA et pas en Europe ? Questions de ressources technologique ? De ressources humaines ? Ou des raisons fiscales, peut-être ? Ce traitement en Europe, avec la fiscalité attachée aurait peut-être la vertu de venir également amoindrir les frottements liés aux projets de taxe GAFA.

3°- le recours à des outils technologiques de type « chiffrement de bout en bout » sous réserve que les clés de déchiffrement ne puissent pas entrer en possession du prestataire ou de l’administration et qu’ils soient suffisamment solides pour ne pas pouvoir être « cassés ». Mais les GAFA y trouveront-ils encore leur intérêt si les données n’étaient plus totalement exploitables ?

4° - le recours au consentement (Article 49.I du RGPD.)  Ici, il suffira, mais il faudra, prouver que ce consentement est libre, spécifique, positif et éclairé …. mais c’est bien cette solution que nous recommandions hier à un de nos contacts ; reste qu’il faudra clairement dire « j’envoie vos données aux USA, pays dans lesquels vous vous exposez à ce que vos données soient traitées par les services de renseignement en vertu de la loi américaine et que vous pouvez n’avoir à cet égard aucune voie de recours de quelque nature que ce soit ». Malgré cela, combien d’utilisateurs choisiront de ne pas laisser faire ce transfert et ce traitement aux USA ?

A bien y réfléchir, la solution n’est peut-être pas si compliquée, finalement.

Jean-François Menier Avocat au Barreau de Paris ELYOS AVOCATS