Schrems 2.0 : Cour de justice des Communautés européennes L'avocat général rend ses conclusions

On December 19, 2019, the European Court of Justice (ECJ) Advocate General, Henrik Saugmandsgaard ØE, provided his opinion on the validity of Standard Contractual Clauses (SCCs) adopted by the European Commission for the transfer of personal data from controllers to processors. The rendered opinion confirms that companies relying upon SCCs do not need to consider changing their approach at this time.

en flag
nl flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Note de la rédaction : Le 19 décembre 2019, l'avocat général de la Cour de justice des Communautés européennes (CJCE), Henrik Saugmandsgaard ØE, a rendu son avis sur la validité des clauses contractuelles types (CSC) adoptées par la Commission européenne pour le transfert de données à caractère personnel des responsables du traitement aux sous-traitants. L'opinion rendue confirme que les entreprises qui s'appuient sur les CSC n'ont pas à envisager de modifier leur approche pour le moment. Cette publication contient une compilation d'extraits d'information qui peuvent être utiles à ceux qui cherchent à comprendre le contenu et le contexte de cette opinion récente concernant les pratiques de transfert de données.

Un extrait d'un article de Laura Song of Alston and Bird

Schrems 2.0 : Clauses contractuelles types déclarées valides par l'avocat général de l'UE

Contexte de l'avis : Max Schrems a pour la première fois déposé une plainte contre les pratiques de transfert de données de Facebook auprès de l'autorité irlandaise de protection des données (Data Protection Commission ou DPC) en 2013, ce qui a conduit à l'invalidation du cadre de Safe Harbor entre les États-Unis et l'UE par la Cour de justice européenne (CJCE), la plus haute juridiction de l'UE, en octobre 2015. Par conséquent, de nombreuses entreprises qui comptaient auparavant sur Safe Harbor pour les transferts de données ont adopté des CSC pour transférer des données à des processeurs en dehors de l'UE puisque le remplacement de Safe Harbor, le bouclier de protection des données, n'était pas opérationnel avant août 2016.

À la suite de la décision de la Cour, M. Schrems a déposé auprès du DPC une nouvelle plainte portant sur le transfert de données à caractère personnel par Facebook de l'UE vers les États-Unis basés sur des CSC. En réponse, le DPC a demandé des éclaircissements auprès des tribunaux non seulement sur la validité des CSC, mais aussi sur le bouclier de protection des données. Le DPC a déposé un recours auprès de la Haute Cour irlandaise qui a ensuite renvoyé l'affaire à la CJCE avec 11 questions. Le 9 juillet 2019, la CJCE a entendu des plaidoiries orales dans l'affaire (Schrems 2.0).

Le 19 décembre 2019, l'avocat général de la Cour Henrik Saugmandsgaard Øe a rendu ses conclusions sur Schrems 2.0.

Lire l'article complet de Schrems 2.0 : Clauses contractuelles types déclarées valides par l'avocat général de l'UE

Introduction et conclusion de l'avis de la Cour de justice européenne

Conclusions de l'avocat général Saugmandsgaard ØE présentées le 19 décembre 2019 (affaire C-311/18)

Data Protection Commission/Facebook Ireland Limited, Maximillian Schrems, intervenantes : États-Unis d'Amérique, Electronic Privacy Information Centre, BSA Business Software Alliance, Inc., Digitaleurope (demande de décision préjudicielle présentée par la High Court, Irlande).

Introduction

En l'absence de garanties communes en matière de protection des données à caractère personnel au niveau mondial, les flux transfrontaliers de ces données comportent un risque de violation de la continuité du niveau de protection garanti dans l'Union européenne. Soucieuse de faciliter ces flux tout en limitant ce risque, le législateur de l'UE a mis en place trois mécanismes permettant de transférer des données à caractère personnel de l'Union européenne vers un État tiers.

En premier lieu, un tel transfert peut avoir lieu sur la base d'une décision par laquelle la Commission européenne estime que l'État tiers en question assure un « niveau de protection adéquat » des données qui lui sont transférées. En second lieu, en l'absence d'une telle décision, le transfert est autorisé lorsqu'il est accompagné de « garanties appropriées ». Ces garanties peuvent prendre la forme d'un contrat entre l'exportateur et l'importateur des données contenant des clauses types de protection adoptées par la Commission. Le RGPR prévoit, en troisième lieu, certaines dérogations, fondées notamment sur le consentement de la personne concernée, qui permettent le transfert des données vers un pays tiers, même en l'absence d'une décision d'adéquation ou de garanties appropriées.

La demande de décision préjudicielle présentée par la High Court, Irlande (ci-après la « High Court ») concerne le second de ces mécanismes. Elle concerne plus spécifiquement la validité de la décision 2010/87/UE, par laquelle la Commission a établi des clauses contractuelles types pour certaines catégories de transferts, à la lumière des articles 7, 8 et 47 de la charte des droits fondamentaux de l'Union européenne (ci-après la « charte »).

Cette demande a été introduite dans le cadre d'une procédure intentée par le commissaire à la protection des données, Irlande (ci-après le « DPC ») contre Facebook Ireland Ltd et M. Maximillian Schrems au sujet d'une plainte déposée par M. Schrems devant le DPC concernant le transfert de données à caractère personnel le concernant par Facebook Ireland à Facebook, Inc., sa société mère, établie aux États-Unis d'Amérique (ci-après les « États-Unis »). Le DPC est d'avis que l'évaluation de cette plainte est conditionnelle à la validité de la décision 2010/87. À cet égard, elle a demandé à la juridiction de renvoi de demander des éclaircissements à la Cour sur ce point.

Permettez-moi de préciser d'emblée que l'examen des questions préjudicielles n'a, à mon avis, rien révélé n'affectant la validité de la décision 2010/87.

En outre, la juridiction de renvoi a mis en évidence certains doutes relatifs, en substance, à l'adéquation du niveau de protection garanti par les États-Unis en ce qui concerne les interférences des services de renseignement américains dans l'exercice des droits fondamentaux des personnes dont les données sont transférés aux États-Unis. Ces doutes mettaient indirectement en cause les appréciations faites par la Commission à cet égard dans la décision d'exécution 2016/1250. (Bien que le règlement du litige au principal n'oblige pas la Cour à trancher cette question et que, par conséquent, je lui suggère de ne pas le faire, je vais exposer, à titre subsidiaire, les raisons qui m'amènent à contester la validité de cette décision.

Mon analyse dans son ensemble sera guidée par le désir de trouver un équilibre entre, d'une part, la nécessité de faire preuve d'un « degré raisonnable de pragmatisme pour permettre l'interaction avec d'autres parties du monde » et, d'autre part, la nécessité d'affirmer les valeurs fondamentales reconnues dans les ordres juridiques de l'Union et ses États membres, et en particulier dans la Charte.

Conclusion

Je propose que la Cour réponde comme suit aux questions préjudicielles posées par la High Court, Irlande :

L'analyse des questions préjudicielles n'a révélé aucune incidence sur la validité de la décision 2010/87/UE de la Commission du 5 février 2010 relative à des clauses contractuelles types pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d'exécution (UE) 2016/2297 de la Commission du 16 décembre 2016.

Lire l'intégralité des conclusions de l'avocat général Saugmandsgaard ØE Prononcés le 19 décembre 2019 (affaire C-311/18)

News Commentaire de la Commission pour la protection des données (DPC) Irlande

Déclaration du DPC sur l'avis de l'AG sur l'affaire #C -311/18 CJUE

Le DPC se félicite de la publication de l'avis de l'AG sur l'affaire #C -311/18 CJUE. L'avis illustre les niveaux de complexité associés aux types de problèmes qui se posent lorsque les lois de l'UE sur la protection des données interagissent avec les lois des pays tiers, y compris celles des États-Unis. De même, la première partie de l'avis reconnaît les tensions importantes qui surgissent entre, d'une part, la nécessité de faire preuve de pragmatisme et, d'autre part, « la nécessité d'affirmer les valeurs fondamentales reconnues dans les ordres juridiques de l'Union et de ses États membres, et en particulier la Charte ».

Certains des points de complexité abordés ici concernent des questions de fond. Pour ne prendre que trois exemples : le droit de l'UE s'applique-t-il lorsque les données à caractère personnel de la personne concernée sont traitées par des autorités publiques dans un pays tiers (selon l'AG) ; les lois et pratiques américaines facilitent-elles les atteintes aux droits des personnes en matière de protection des données qui sont incompatibles avec le droit de l'UE (elles le font, en le point de vue de l'AG) ; ces problèmes sont-ils résolus par le bouclier de protection des données (non, de l'avis de l'AG).

Par ailleurs, l'avis note également que, dans des cas particuliers, les clauses contractuelles types peuvent également ne pas apporter de réponse aux problèmes qui se posent lorsque les transferts de données transmettent les données des citoyens de l'UE sous la responsabilité des autorités publiques américaines. À ce stade, les complexités procédurales sont également constatées. Plus précisément, qui devrait intervenir lorsque, dans le cadre d'un transfert individuel, le niveau de protection exigé par le droit de l'UE ne peut être maintenu ? En l'espèce, tout en reconnaissant ses imperfections et les difficultés pratiques qu'elle présente, et nonobstant le risque de fragmentation entre les autorités de contrôle au sein des États membres, l'AG conclut que l'approche adoptée par l'UE dans le cadre des CCS constitue un équilibre approprié entre pragmatisme et principe. Cette approche est celle selon laquelle la responsabilité de garantir la protection des droits des citoyens de l'UE en matière de protection des données incombe en premier lieu aux responsables du traitement et, de l'avis de l'AG, aux autorités nationales de contrôle lorsqu'un responsable du traitement ne s'acquitte pas de ses obligations.

Tout en notant que ces questions restent à trancher par la Cour, le DPC se félicite de la clarté de l'analyse contenue dans l'avis de l'AG.

Lire l'annonce originale lors de la déclaration de DPC sur l'avis de l'AG sur l'affaire C-311/18 CJUE

Lecture supplémentaire

Cour de justice de l'Union européenne (CJUE)

La Commission de la protection des données (DPC) Irlande

Source : CompleDiscovery