Invalidation du Privacy Shield : l’imbroglio juridique

Privacy Shield, où en est-on ?

En date du 16 juillet 2020, La Cour de Justice de l’Union européenne (CJUE) a invalidé, via son arrêt communément appelé « Schrems II » la décision de la Commission de l’UE 2016/1250 relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, communément appelée Privacy Shield.

Comme indiqué dans notre article précédent, dans sa décision, la CJUE a affirmé la validité des clauses contractuelles types de protection tout en invalidant le dispositif du Safe Harbour. L’argumentaire de cette invalidation réside dans le fait que les programmes de surveillance fondés sur la réglementation interne des États-Unis ne sont pas limités au strict nécessaire.
Les conséquences de cette décision sont que les transferts de données personnelles sont maintenant sanctionnables s’ils ne sont pas effectués au moyen des dispositifs prévus par le RGPD : recours aux CCT, à un code de conduite approuvé, ou à un mécanisme de certification.

Une sécurité des données personnelles non garantie

Dans les faits, et jusqu’aujourd’hui, ces moyens, même s’ils sont légaux et reconnus comme légitimes par les autorités de contrôle, ne garantissent en rien la sécurité des données à caractère des citoyens européens, puisque les impératifs de sécurité nationale mis en avant par les États-Unis pour justifier de la surveillance de masse ne plieront pas devant des règles de protection des données personnelles.

Ainsi, la responsabilité d’un transfert de données vers les États-Unis est laissée entre les mains seules des responsables de traitements basés en Europe.

Un nouvel accord limité

Il semblerait qu’un nouvel accord ne puisse en rien changer à l’insécurité actuelle des données à caractère personnelles transférée aux États-Unis, sinon en apparence seulement. C’est ce qu’a indiqué en septembre 2020, en toute logique, le commissaire européen à la Justice, Didier Reynders : "Il n'y aura pas de solution miracle Ce dont nous avons besoin, ce sont des solutions durables qui assurent la sécurité juridique, dans le plein respect de l’arrêt du tribunal.» La nécessité invoquée est renforcée par les 110 plaintes similaires à celle ayant abouti à l’invalidation du Privacy Shield.

Vers un renforcement de la protection des données

Mi-janvier 2021, le Comité Européen de la Protection de la Donnée et le Contrôleur européen de la protection des données ont rendu un avis commun relatif à une révision des clauses contractuelles types, pour tenir compte de l’arrêt Schrems II. Cet avis appelle à un renforcement des protections, tout en reconnaissant que des carences ne peuvent que subsister concernant les surveillances opérées par des pays tiers, dont les États-Unis, sur les données transitant sur leurs territoires ou via des entreprises implantées sur ceux-ci.

La Commission européenne est quant à elle engagée depuis le dernier trimestre 2020 dans des négociations avec les autorités américaines visant leur faire revoir le programme de surveillance américain. Pourparlers dont l’issue positive est naturellement plus qu’incertaine.

Le coup de tonnerre de l’arrêt Schrems II doit être considéré comme un événement utile. En effet, il met en lumière les limites réelles du RGPD, à mettre en regard avec ses prétentions originelles. Aucun accord bilatéral sur la question des données personnelles ni mesure de protection prise par un responsable de traitement ne pourra garantir la non-intrusion d’un état, dans le cadre de ses activités de renseignement, dans une base ou un flux de données contenant des données personnelles.

La digitalisation exponentielle des données et la mondialisation de leurs transferts rendent illusoire la maîtrise de leur confidentialité. Les états n’ont jamais pu accéder de manière aussi aisée à une telle masse d’informations sur leurs citoyens et sur ceux d’autres pays ; le RGPD ne les limitera certainement pas dans l’exploitation optimisée de celles-ci, pour des finalités déterminées à leur guise.