Rappel du dispo­si­tif de l’ar­rêt Schrems II

Le EU-US Privacy Shield est un programme d’auto-certi­fi­ca­tion par lequel une entre­prise améri­caine peut s’en­ga­ger à respec­ter certains stan­dards en matière de protec­tion des données, permet­tant ainsi une libre circu­la­tion de données person­nelles entre cette entre­prise et des acteurs situés au sein de l’Union euro­péenne (moyen­nant bien sûr le respect des prin­cipes géné­raux en matière de protec­tion des données). Dans le cadre de l’ar­rêt Schrems II, la CJUE a inva­lidé le EU-US Privacy Shield, au motif que cet instru­ment n’offre pas un niveau suffi­sant de protec­tion des données person­nelles à la lumière du droit de l’Union, notam­ment compte tenu des mesures de surveillance à dispo­si­tion des auto­ri­tés améri­caines. Cette déci­sion a pour consé­quence que les trans­ferts de données person­nelles entre les entre­prises améri­caines parti­ci­pant au EU-US Privacy Shield et les entre­prises euro­péennes ne béné­fi­cient plus d’une présomp­tion de confor­mité au Règlement euro­péen sur la protec­tion des données (« RGPD »).

Au-delà du EU-US Privacy Shield, un trans­fert de données person­nelles dans un pays qui n’offre pas un niveau de protec­tion adéquat (tel que les États-Unis) peut toute­fois être auto­risé si les parties mettent en place des garan­ties contrac­tuelles appro­priées (art. 46 par. 2 let. c RGPD), appe­lées Standard Contractual Clauses (SCC). La Cour a confirmé que les SCC publiées par la Commission euro­péenne consti­tuaient une telle garan­tie, pour autant que l’ex­por­ta­teur des données (i) effec­tue une analyse de risques et (ii) s’as­sure que les SCC permettent effec­ti­ve­ment une protec­tion adéquate des données trans­fé­rées. Dès lors, si une telle analyse révèle que les SCC ne sont pas suffi­santes à assu­rer un niveau de protec­tion adéquat dans le pays de desti­na­tion, l’ex­por­ta­teur devra (iii) prendre des mesures de protec­tion supplémentaires.

Et en Suisse ?

Même si l’ar­rêt Schrems II ne déploie pas d’ef­fet direct en Suisse, le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (le « Préposé ») a retenu que le Swiss-US Privacy Shield (l’équi­valent du EU-US Privacy Shield) n’offre pas un niveau de protec­tion suffi­sant et ne consti­tue donc plus un instru­ment permet­tant le trans­fert des données vers les État-Unis (commu­ni­qué du Préposé du 8 septembre 2020). Les États-Unis ne répondent donc pas aux exigences d’une protec­tion des données adéquate au sens de l’art. 6 al. 1 LPD. Le Préposé impose alors une analyse des risques en cas de recours aux SCC.

Et main­te­nant ?

En prio­rité, les entre­prises concer­nées doivent véri­fier si des trans­ferts de données person­nelles vers un réci­pien­daire loca­lisé aux États-Unis sont fondés sur le Privacy Shield (version UE ou suisse) et, dans l’af­fir­ma­tive, mettre en œuvre immé­dia­te­ment une solu­tion alternative.

S’agissant des trans­ferts fondés sur les SCC, les entre­prises doivent procé­der à une évalua­tion des risques au vu du cadre légal de l’État de desti­na­tion des données. Certes, les SCC sont soumises aux mêmes limi­ta­tions que le EU-US Privacy Shield, vu qu’un méca­nisme contrac­tuel ne peut pas faire échec à des droits d’ac­cès des auto­ri­tés natio­nales. Cela étant dit, l’exis­tence d’un tel droit d’ac­cès ne consti­tue pas à nos yeux un obstacle insur­mon­table si le stan­dard de la note de bas de page 2 de la Clause 5 des SCC « Responsables à Sous-Traitants » est respecté (dans l’ar­rêt Schrems II, la CJUE a du reste fait expres­sé­ment réfé­rence à cette note de bas de page (§ 141)):

« Les exigences impé­ra­tives de la légis­la­tion natio­nale appli­cable [à l’im­por­ta­teur de données] et qui ne vont pas au-delà de celles qui sont néces­saires dans une société démo­cra­tique pour l’un des inté­rêts énon­cés à l’ar­ticle 13 para­graphe 1 de la Directive 95/​46/​EC [main­te­nant : art. 23 par. 1 RGPD], c’est-à-dire si elles consti­tuent une mesure néces­saire pour sauve­gar­der la sûreté de l’État, la défense, la sécu­rité publique, la préven­tion, la recherche, la détec­tion et la pour­suite d’in­frac­tions pénales ou de manque­ments à la déon­to­lo­gie des profes­sions régle­men­tées ; un inté­rêt écono­mique ou finan­cier impor­tant d’un État ou la protec­tion de la personne concer­née ou des droits et liber­tés d’au­trui, ne vont pas à l’en­contre des clauses contrac­tuelles types. Parmi les exemples de ces exigences impé­ra­tives qui ne vont pas au-delà de celles qui sont néces­saires dans une société démo­cra­tique figurent, notam­ment, les sanc­tions recon­nues sur le plan inter­na­tio­nal, les obli­ga­tions de décla­ra­tion fiscale et les obli­ga­tions de décla­ra­tion de lutte contre le blan­chi­ment des capi­taux. » (nous mettons en évidence)

Si le respon­sable de trai­te­ment conclut que ce stan­dard est respecté, il nous semble néan­moins recom­mandé de procé­der à un renfor­ce­ment (contrac­tuel) des SCC, même si la CJUE a reconnu la vali­dité des SCC dans leur prin­cipe. S’agissant de ce renfor­ce­ment des SCC, une auto­rité de contrôle alle­mande a publié des propo­si­tions inté­res­santes (Landesbeauftragter für Datenschutz und Informationssicherheit Baden-Württemberg, Orientierungshilfe : Was jetzt in Sachen inter­na­tio­na­ler Datentransfer ?). Par ailleurs, les points évoqués dans le Guide « Cloud » de l’Association suisse des banquiers (pages 40–41) consti­tuent des pistes envi­sa­geables au-delà de l’in­dus­trie bancaire.

En revanche, si les moda­li­tés d’ac­cès des auto­ri­tés de l’État du réci­pien­daire excèdent le stan­dard évoqué ci-dessus – ce qui est le cas, par exemple, s’agis­sant des entre­prises améri­caines soumises au Foreign Intelligence Surveillance Act (FISA) et à l’Executive Order 12333 –, la conclu­sion impli­cite de l’ar­rêt Schrems II est que les SCC, même renfor­cées, sont insuf­fi­santes. Le respon­sable de trai­te­ment doit alors explo­rer d’autres alternatives :

1. Autres fonde­ments juri­diques : Le trans­fert vers un État qui n’est pas au béné­fice d’une recon­nais­sance d’adé­qua­tion est notam­ment licite (i) en présence d’un consen­te­ment expli­cite de la personne concer­née (art. 49 par. 1 let. a RGPD /​ art. 6 al. 1 let. b LPD /​ art. 17 al. 1 let. a nLPD) ou (ii) si le trans­fert est néces­saire à l’exé­cu­tion d’un contrat conclu (a) entre la personne concer­née et le respon­sable du trai­te­ment (art. 49 par. 1 let. b RGPD /​ art. 6 par. 2 al. c LPD /​ art. 17 al. 1 (b) (1) nLPD) ou (b) dans l’in­té­rêt de la personne concer­née (art. 49 par. 1 let. c RGPD /​ art. 17 al. 1 let. b ch. 2 nLPD). Il convient de noter que ces autres fonde­ments juri­diques sont consi­dé­rés comme rési­duels par le Comité Européen de la Protection des Données et consti­tuent donc des excep­tions qui sont soumises à des exigences spécifiques.
2. Mesures tech­niques : Une autre alter­na­tive est de recou­rir à des mesures tech­niques de protec­tion (cryp­tage ou anony­mi­sa­tion des données). Cette option n’est pas dispo­nible si le réci­pien­daire doit trai­ter les données person­nelles afin de pouvoir rendre le service attendu (ainsi, les cloud service provi­ders offrent aujourd’­hui des services de trai­te­ment de données qui vont au-delà d’un simple stockage de données).

Ainsi, les SCC ne consti­tuent plus un « stan­dard » permet­tant ipso facto un trans­fert de données person­nelles vers un État dépourvu d’une recon­nais­sance d’adé­qua­tion. Le recours aux SCC doit être précédé d’une analyse de risques docu­men­tée, ce d’au­tant plus que, sous l’empire de la LPD actuelle, l’uti­li­sa­tion des SCC doit être noti­fiée au Préposé (art. 6 al. 3 LPD, une exigence à laquelle la nouvelle LPD renonce).