La CJUE a reçu onze questions soumises par la Haute Cour irlandaise. La CJEU est libre de reformuler les questions et de n'en aborder que quelques-unes. Cette FAQ donne un aperçu de l'arrêt et des questions auxquelles il a été répondu. Elle se concentre sur les questions les plus pertinentes que les personnes et les entreprises peuvent se poser sur l'arrêt de la CJUE.
(I) Ce que couvre la décision
Quels sont les transferts de données entre l'UE et les États-Unis qui ne sont pas concernés par cette affaire ?
En termes simples : les transferts nécessaires de données personnelles ne sont pas impactés.
Cette affaire ne concerne pas : (1) les données qui ne sont pas des "données à caractère personnel" ; (2) les transferts de données "nécessaires" vers les États-Unis (par exemple, les courriers électroniques vers les États-Unis, les réservations aux États-Unis, etc.) - dans la plupart des cas, ces transferts bénéficient d'une "dérogation" prévue à l'article 49 du GDPR.
Par conséquent, cette affaire ne signifie pas qu'on ne peut pas envoyer de courriels ou de messages de l'UE aux États-Unis. Toute interprétation allant dans ce sens serait tout simplement incorrecte.
Malgré cela, de nombreuses entreprises de l'UE devront revoir leurs pratiques d'externalisation si elles font traiter des données personnelles par des fournisseurs américains. Les destinataires de ces données aux États-Unis devront également procéder à un examen similaire s'ils sont soumis aux lois américaines pertinentes en matière de surveillance, telles que la FISA 702.
Quelle est la différence entre l'"externalisation" du traitement et les transferts de données absolument "nécessaires" vers les États-Unis, y compris l'envoi de courriels, les réservations d'hôtel ou les transactions commerciales ?
Les transferts de données "nécessaires" : Dans la plupart des cas où des données doivent être transférées aux États-Unis (par exemple, réservation d'un hôtel, envoi d'un courriel à une personne aux États-Unis, transactions commerciales courantes entre l'UE et les États-Unis, etc.), les dérogations ("dérogations") prévues à l'article 49 du GDPR s'appliquent. Ces types de transferts de données sont autorisés, indépendamment de la validité d'autres instruments juridiques utilisés pour les transferts de données, tels que les clauses contractuelles types (SCC), le « Privacy Shield » ou les règles d'entreprise contraignantes (BCR).
L'externalisation : L'externalisation signifie que les données personnelles sont uniquement stockées aux États-Unis parce qu'il est plus facile, moins coûteux ou plus pratique de les stocker chez un fournisseur de services américain qu'en Europe, même si les données pourraient techniquement être stockées dans l'UE/EEE. Dans ce cas, il n'existe généralement pas de dérogation générale ("dérogation") au titre de l'article 49 du GDPR permettant le transfert de données vers les États-Unis. Un instrument juridique comme les CSC, le Privacy Shield ou les BCR doit être utilisé à la place, mais ces instruments peuvent être déclarés invalides ou inutilisables dans certaines situations par la CJUE. Aujourd’hui, le Privacy Shield a été déclaré invalide. En outre, les CCT ne peuvent pas être utilisées par Facebook ou d’autres entreprises américaines qui tombent sous le coup des lois américaines de surveillance.
Cette affaire concerne-t-elle des transferts de données vers des pays autres que les États-Unis ?
L'affaire ne concerne pas directement ces transferts, à moins que les CSC ne soient invalidés en tant qu'instrument de transfert dans leur ensemble.
Toutefois, l'affaire a des conséquences indirectes. Les entreprises devront revoir le niveau réel de protection offert dans les pays tiers beaucoup plus attentivement qu'elles ne l'ont fait jusqu'à présent. En ce qui concerne les CCT, par exemple, le conflit avec les lois de surveillance est tout aussi important que les lois de pays comme la Chine ou la Russie.
(II) Conséquences pour les consommateurs
Les consommateurs de l'UE/EEE peuvent-ils encore utiliser directement les services des États-Unis (ou d'autres pays tiers) ?
Dans la pratique, les utilisateurs sont libres d'envoyer en connaissance de cause leurs propres données personnelles directement à un pays tiers, par exemple lorsqu'ils utilisent un site web chinois.
Toutefois, il n'est pas possible de partager directement les données d'autres personnes (par exemple, des amis, des collègues) avec un fournisseur américain, sauf si vous avez obtenu leur consentement libre, spécifique, informé et non ambigu pour le faire.
Les consommateurs de l'UE/EEE peuvent-ils encore utiliser indirectement (via une filiale de l'UE) des services américains (ou d'autres pays tiers) ?
Dans de nombreux cas, les utilisateurs de l'UE/EEE ont un contrat avec une filiale européenne d'une société américaine. C'est le cas par exemple de Google Irlande, Facebook Irlande, Microsoft Luxembourg ou Amazon Luxembourg.
Dans ces cas, les entreprises de l'UE sont chargées de veiller à ce que les flux de données personnelles "internes à l'entreprise" vers les États-Unis soient conformes au RGPD. Les entreprises doivent maintenant surveiller de près leurs transferts de données et évaluer si elles ne doivent pas les héberger en Europe ou dans tout autre pays qui offre une meilleure protection des données, au lieu d’être transférées vers les US vers une entreprise sous la coup de la surveillance américaine.
(III) Conséquences pour les entreprises
Les entreprises de l'UE/EEE peuvent-elles encore effectuer les transferts "nécessaires" de données à caractère personnel vers les États-Unis ?
Dans la plupart des cas : Oui.
L'article 49 du GDPR comporte une liste de "dérogations" permettant de tels transferts de données. Cela concerne généralement les commandes passées par des entreprises aux États-Unis, les réservations d'hôtels américains, l'envoi de courriels aux États-Unis et, en général, toute prestation de service nécessitant logiquement un transfert de données entre l'UE et les États-Unis. Ces transferts ne font pas partie de l'affaire et ne sont pas affectés par l'arrêt.
Les entreprises de l'UE/EEE peuvent-elles continuer à "externaliser" le traitement des données à caractère personnel aux États-Unis ?
Dans la plupart des cas : probablement pas.
La plupart des sous-traitants américains couramment utilisés relèvent également des lois de surveillance américaines telles que la FISA 702, qui les obligent à divulguer des données personnelles au gouvernement américain sans protection adéquate. Le transfert de données à des sous-traitants soumis à de telles obligations est contraire au RGPD, ainsi que confirmé par la CJUE.
Les entreprises de l'UE/EEE peuvent-elles continuer à externaliser le traitement des données à caractère personnel dans des pays autres que les États-Unis ?
Oui, s'il n'y a pas de lois qui s’y opposent dans ce pays.
L'affaire ne modifie pas les règles du RGPD pour les transferts de données. Comme auparavant, chaque entreprise de l'UE doit vérifier s'il existe dans un pays tiers des lois susceptibles de primer sur la législation européenne en matière de protection de la vie privée. Dans ce cas, les données à caractère personnel ne peuvent pas être externalisées vers ce pays tiers.
Par exemple, si le traitement des données à caractère personnel est externalisé vers le pays A, le responsable du traitement de l'UE doit s'assurer que le destinataire a mis en place les dispositions nécessaires, mais aussi qu'il n'y a pas de loi incompatibles qui s'applique dans le pays A et qui l'emporte sur ces dispositions.
Tous les transferts de données de l'UE/EEE vers les États-Unis sont-ils désormais interdits ?
Non, pas du tout - pour deux raisons :
- La plupart des transferts de données ne contiennent pas de "données à caractère personnel" mais une autre forme de données. Ces transferts de données ne sont même pas réglementés par le RGPD.
- La plupart des transferts "nécessaires" de données à caractère personnel (par exemple, lors de l'envoi d'un courrier électronique, d'un message ou d'une réservation d'hôtel) relèvent toujours d'une dérogation prévue à l'article 49. Ces transferts peuvent se poursuivre après le jugement et ne sont pas affectés par celui-ci.
L'affaire concerne-t-elle tous les destinataires américains de données européennes ?
Non. Il ne concerne que les entreprises soumises aux lois de surveillance américaines ou les entreprises qui utilisent des fournisseurs soumis à ces lois.
Par exemple, la norme FISA 702 ne s'applique qu'aux "fournisseurs de services de communication électronique". Les secteurs tels que les banques, les compagnies aériennes, les hôtels, les compagnies de navigation, la vente de marchandises et autres ne sont généralement pas considérés comme couverts par ces lois. Il existe toutefois une certaine ambiguïté concernant ces termes et la législation américaine. Une clarification par le gouvernement américain semble nécessaire.
En pratique, cependant, une banque (qui n'est pas couverte par la FISA) peut elle-même faire appel à un "fournisseur de services de communication électronique" (qui est couvert par la FISA). Cela signifie que les données de la banque sont accessibles par l'intermédiaire du "fournisseur de services de communication électronique". Elle peut aussi transférer des données qui ne sont pas correctement cryptées, ce qui permettrait, par exemple, de les "exploiter" lors de leur transmission par des câbles sous-marins (comme le permet le Décret présidentiel 12.333). En tant que tel, l'ensemble du flux de données doit être évalué.
Comment une décision de la CJUE peut-elle être exécutée en pratique ?
Après le jugement, les entreprises devront examiner individuellement si elles doivent modifier leurs pratiques. Elles sont tenues de mettre un terme aux transferts de données illégaux. Cela n'est pas nouveau. Après l'arrêt "Safe Harbor", de nombreuses entreprises européennes se sont détournées des fournisseurs américains.
Les entreprises qui continuent à transférer illégalement des données à des destinataires américains seront tenues de mettre fin à tous ces transferts le plus rapidement possible afin d'éviter de se voir infliger des amendes pouvant atteindre 20 millions d'euros ou 4 % de leur chiffre d'affaires global en vertu du RGPD. Les autorités nationales de protection des données (DPA) ont la responsabilité de faire appliquer ces sanctions.
Les utilisateurs des entreprises européennes peuvent demander que ces entreprises cessent de transférer leurs données personnelles aux États-Unis. Si les entreprises ne donnent pas suite à ces demandes, les utilisateurs peuvent déposer une plainte auprès d'une autorité de protection des données ou intenter une action en justice auprès de leur tribunal local. Cela peut conduire à des injonctions préliminaires et/ou à des dommages moraux. Dans de nombreux pays de l'UE, les associations de consommateurs, les syndicats et d'autres organismes peuvent également intenter des actions collectives ou des recours collectifs si une entreprise continue à transférer des données à caractère personnel sans base juridique.
Que peuvent faire les entreprises de l'UE/EEE ?
Les entreprises doivent évaluer si leur traitement de données à caractère personnel doit être sous-traité à des sous-traitants américains. Si c'est le cas, elles doivent déterminer la base juridique du transfert de données (par exemple, les dérogations prévues à l'article 49 de la GDPR, les CSC, le Privacy Shield ou les BCR).
La plupart des fournisseurs américains de services dans le cloud sont qualifiés de "fournisseurs de services de communication électronique" et relèvent donc des lois américaines de surveillance pertinentes telles que la FISA 702.
Bien que la plupart des autres secteurs industriels ne soient pas soumis à ces lois, ils peuvent utiliser des "fournisseurs de services de communication électronique" qui le sont, ce qui donne en fait un accès indirect aux données. D'autres instruments de surveillance tels que le décret 12.333 doivent également être pris en compte. Ce décret 12.333 autorise la "surveillance en transit", comme l'accès à des données qui ne sont pas correctement cryptées lorsqu'elles passent sur des câbles transatlantiques.
Si elles ne peuvent utiliser aucun des instruments juridiques permettant un transfert comme prévu aux articles 44-50 du GDPR, les entreprises devront transférer toutes les données personnelles pertinentes vers l'UE/EEE et trouver un sous-traitant au sein de l'UE/EEE ou dans tout autre pays où une protection adéquate des données personnelles est assurée.
Que peuvent faire les entreprises américaines ?
Les entreprises américaines doivent vérifier si elles ou leurs sous-traitants sont soumis aux lois de surveillance américaines pertinentes et si leurs transferts de données sont cryptés à un niveau garantissant qu'aucune "écoute" n'est possible pendant le transfert. À l'issue de cet examen, elles devront indiquer à leurs clients de l'UE/EEE si leur traitement de données à caractère personnel est affecté par l'arrêt.
À long terme, il peut être souhaitable de transférer certaines opérations de traitement hors des États-Unis ou de parler aux représentants élus des retombées des lois américaines sur la surveillance de la capacité des entreprises américaines à maintenir leurs affaires commerciales avec des clients étrangers. Nous espérons également que les entreprises américaines parleront au législateur américain au sujet du manque de protection accordée à leurs clients internationaux.
(IV) LES CONSÉQUENCES POLITIQUES
Comment résoudre à long terme le conflit entre les lois américaines sur la surveillance et les lois européennes sur la protection de la vie privée ?
Si les États-Unis veulent conserver leur position de principal fournisseur de services informatiques dans le monde, les lois américaines en matière de surveillance devront être réformées de toute urgence. Les États-Unis devront introduire des protections de base de la vie privée qui soient au moins équivalentes à celles déjà accordées aux citoyens américains. Dans le cas contraire, il est très peu probable que les clients étrangers continuent à utiliser les fournisseurs de services américains.
Dès que la législation américaine en matière de surveillance sera ainsi réformée, les entreprises européennes pourront reprendre les transferts de données entre l'UE et les États-Unis et la Commission européenne pourra émettre de nouveaux instruments stables pour le permettre.
Comment les transferts de données entre l'UE et les États-Unis pourraient-ils se poursuivre à l'avenir ?
Au fond, nous sommes confrontés à un conflit entre la législation européenne sur la protection de la vie privée et la législation américaine sur la surveillance : la législation européenne exige la protection des données personnelles, tandis que la législation américaine exige la surveillance.
Le droit à la vie privée et la protection des données sont des droits fondamentaux en Europe, tels que consacrés par les articles 7 et 8 de la Charte des droits fondamentaux de l'UE. Les 27 États membres doivent se mettre d'accord, à l'unanimité, sur toute modification de ces droits fondamentaux. La Commission européenne a essayé de faire passer des exceptions comme les "Safe Harbour" et le "Privacy Shield", mais sans la réforme nécessaire des lois américaines sur la surveillance, celles-ci ne satisfont pas aux droits fondamentaux de l'UE. Il en résulte des décisions comme celle-ci, qui rendent les exceptions invalides.
En 2008, les États-Unis ont introduit des lois de surveillance de grande portée pour les personnes non américaines. Si les États-Unis devaient revenir sur ces lois de surveillance ou garantir les mêmes protections aux personnes non américaines qu'aux personnes américaines, il est très probable que les États-Unis seraient considérés comme un pays qui assure une "protection adéquate" des données à caractère personnel en vertu du droit communautaire s’il existe un recours approprié.
L'UE peut-elle simplement adopter une autre décision si le Privacy Shield est invalidé ?
En théorie, la Commission européenne pourrait (sciemment) rendre une autre décision non valable si la CJUE invalide le "Privacy Shield". Étant donné que le problème réside dans le droit américain, cela entraînerait très probablement une contestation juridique qui aboutirait à ce que la nouvelle décision soit également invalidée par la CJUE. Il est très peu probable que cela soit politiquement acceptable. Les entreprises ont également besoin d'une solution juridiquement stable.
Cet arrêt et le précédent, concernant les principes de "Safe Harbour", sont tous deux fondés sur la Charte des droits fondamentaux. Un accord unanime entre les 27 États membres de l'UE serait nécessaire pour modifier les traités de l'UE afin de permettre à la Commission européenne d'émettre une décision juridiquement valable pour les transferts de données entre l'UE et les États-Unis.
La solution est donc entre les mains du législateur américain, qui doit adapter ou réduire les lois américaines actuelles en matière de surveillance.
Ne s'agit-il pas simplement de protectionnisme de la part de l'UE ?
Non. Cette affaire est en fait dirigée contre la Commission européenne. Le droit européen prévoit de nombreuses possibilités de transferts internationaux de données, à condition que les protections de base de la vie privée soient respectées.
En réalité, le bras politique de l'UE (la Commission européenne et les États membres) soutient les transferts de données entre l'UE et les États-Unis, mais la CJUE a déjà émis des doutes quant à la légalité de ces accords avec les États-Unis compte tenu de la violation potentielle des droits fondamentaux de l'UE. De même, le Parlement européen a également émis des doutes sur ces accords.
Si l'on compare le "Privacy Shield", tel qu'il s'applique aux entreprises américaines, avec le RGPD applicable au sein de l'UE, il est clair que les entreprises américaines peuvent accéder au grand marché de l'UE en suivant des règles beaucoup plus faibles que celles que les entreprises européennes doivent respecter. Les entreprises américaines disposent ainsi d'un avantage concurrentiel.