swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Schrems II ou la quadrature du cercle

Philipp Fischer, le 18 octobre 2020
Le 16 juillet 2020, la Cour de justice de l’Union euro­péenne (la « CJUE ») a rendu sa déci­sion (n° C‑311/​18) dans le cadre de l’af­faire dite Schrems II, du nom de Maximilian Schrems, un juriste autri­chien qui, pour la deuxième fois après 2015 (arrêt de la CJUE du 6 octobre 2015 dans la cause n° C‑362/​14), obtient l’in­va­li­da­tion judi­ciaire d’un méca­nisme de trans­mis­sion de données person­nelles vers les États-Unis. 

Rappel du dispo­si­tif de l’ar­rêt Schrems II

Le EU-US Privacy Shield est un programme d’auto-certi­fi­ca­tion par lequel une entre­prise améri­caine peut s’en­ga­ger à respec­ter certains stan­dards en matière de protec­tion des données, permet­tant ainsi une libre circu­la­tion de données person­nelles entre cette entre­prise et des acteurs situés au sein de l’Union euro­péenne (moyen­nant bien sûr le respect des prin­cipes géné­raux en matière de protec­tion des données). Dans le cadre de l’ar­rêt Schrems II, la CJUE a inva­lidé le EU-US Privacy Shield, au motif que cet instru­ment n’offre pas un niveau suffi­sant de protec­tion des données person­nelles à la lumière du droit de l’Union, notam­ment compte tenu des mesures de surveillance à dispo­si­tion des auto­ri­tés améri­caines. Cette déci­sion a pour consé­quence que les trans­ferts de données person­nelles entre les entre­prises améri­caines parti­ci­pant au EU-US Privacy Shield et les entre­prises euro­péennes ne béné­fi­cient plus d’une présomp­tion de confor­mité au Règlement euro­péen sur la protec­tion des données (« RGPD »).

Au-delà du EU-US Privacy Shield, un trans­fert de données person­nelles dans un pays qui n’offre pas un niveau de protec­tion adéquat (tel que les États-Unis) peut toute­fois être auto­risé si les parties mettent en place des garan­ties contrac­tuelles appro­priées (art. 46 par. 2 let. c RGPD), appe­lées Standard Contractual Clauses (SCC). La Cour a confirmé que les SCC publiées par la Commission euro­péenne consti­tuaient une telle garan­tie, pour autant que l’ex­por­ta­teur des données (i) effec­tue une analyse de risques et (ii) s’as­sure que les SCC permettent effec­ti­ve­ment une protec­tion adéquate des données trans­fé­rées. Dès lors, si une telle analyse révèle que les SCC ne sont pas suffi­santes à assu­rer un niveau de protec­tion adéquat dans le pays de desti­na­tion, l’ex­por­ta­teur devra (iii) prendre des mesures de protec­tion supplémentaires.

Et en Suisse ?

Même si l’ar­rêt Schrems II ne déploie pas d’ef­fet direct en Suisse, le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (le « Préposé ») a retenu que le Swiss-US Privacy Shield (l’équi­valent du EU-US Privacy Shield) n’offre pas un niveau de protec­tion suffi­sant et ne consti­tue donc plus un instru­ment permet­tant le trans­fert des données vers les État-Unis (commu­ni­qué du Préposé du 8 septembre 2020). Les États-Unis ne répondent donc pas aux exigences d’une protec­tion des données adéquate au sens de l’art. 6 al. 1 LPD. Le Préposé impose alors une analyse des risques en cas de recours aux SCC.

Et main­te­nant ?

En prio­rité, les entre­prises concer­nées doivent véri­fier si des trans­ferts de données person­nelles vers un réci­pien­daire loca­lisé aux États-Unis sont fondés sur le Privacy Shield (version UE ou suisse) et, dans l’af­fir­ma­tive, mettre en œuvre immé­dia­te­ment une solu­tion alternative.

S’agissant des trans­ferts fondés sur les SCC, les entre­prises doivent procé­der à une évalua­tion des risques au vu du cadre légal de l’État de desti­na­tion des données. Certes, les SCC sont soumises aux mêmes limi­ta­tions que le EU-US Privacy Shield, vu qu’un méca­nisme contrac­tuel ne peut pas faire échec à des droits d’ac­cès des auto­ri­tés natio­nales. Cela étant dit, l’exis­tence d’un tel droit d’ac­cès ne consti­tue pas à nos yeux un obstacle insur­mon­table si le stan­dard de la note de bas de page 2 de la Clause 5 des SCC « Responsables à Sous-Traitants » est respecté (dans l’ar­rêt Schrems II, la CJUE a du reste fait expres­sé­ment réfé­rence à cette note de bas de page (§ 141)):

« Les exigences impé­ra­tives de la légis­la­tion natio­nale appli­cable [à l’im­por­ta­teur de données] et qui ne vont pas au-delà de celles qui sont néces­saires dans une société démo­cra­tique pour l’un des inté­rêts énon­cés à l’ar­ticle 13 para­graphe 1 de la Directive 95/​46/​EC [main­te­nant : art. 23 par. 1 RGPD], c’est-à-dire si elles consti­tuent une mesure néces­saire pour sauve­gar­der la sûreté de l’État, la défense, la sécu­rité publique, la préven­tion, la recherche, la détec­tion et la pour­suite d’in­frac­tions pénales ou de manque­ments à la déon­to­lo­gie des profes­sions régle­men­tées ; un inté­rêt écono­mique ou finan­cier impor­tant d’un État ou la protec­tion de la personne concer­née ou des droits et liber­tés d’au­trui, ne vont pas à l’en­contre des clauses contrac­tuelles types. Parmi les exemples de ces exigences impé­ra­tives qui ne vont pas au-delà de celles qui sont néces­saires dans une société démo­cra­tique figurent, notam­ment, les sanc­tions recon­nues sur le plan inter­na­tio­nal, les obli­ga­tions de décla­ra­tion fiscale et les obli­ga­tions de décla­ra­tion de lutte contre le blan­chi­ment des capi­taux. » (nous mettons en évidence)

Si le respon­sable de trai­te­ment conclut que ce stan­dard est respecté, il nous semble néan­moins recom­mandé de procé­der à un renfor­ce­ment (contrac­tuel) des SCC, même si la CJUE a reconnu la vali­dité des SCC dans leur prin­cipe. S’agissant de ce renfor­ce­ment des SCC, une auto­rité de contrôle alle­mande a publié des propo­si­tions inté­res­santes (Landesbeauftragter für Datenschutz und Informationssicherheit Baden-Württemberg, Orientierungshilfe : Was jetzt in Sachen inter­na­tio­na­ler Datentransfer ?). Par ailleurs, les points évoqués dans le Guide « Cloud » de l’Association suisse des banquiers (pages 40–41) consti­tuent des pistes envi­sa­geables au-delà de l’in­dus­trie bancaire.

En revanche, si les moda­li­tés d’ac­cès des auto­ri­tés de l’État du réci­pien­daire excèdent le stan­dard évoqué ci-dessus – ce qui est le cas, par exemple, s’agis­sant des entre­prises améri­caines soumises au Foreign Intelligence Surveillance Act (FISA) et à l’Executive Order 12333 –, la conclu­sion impli­cite de l’ar­rêt Schrems II est que les SCC, même renfor­cées, sont insuf­fi­santes. Le respon­sable de trai­te­ment doit alors explo­rer d’autres alternatives :

  1. Autres fonde­ments juri­diques : Le trans­fert vers un État qui n’est pas au béné­fice d’une recon­nais­sance d’adé­qua­tion est notam­ment licite (i) en présence d’un consen­te­ment expli­cite de la personne concer­née (art. 49 par. 1 let. a RGPD /​ art. 6 al. 1 let. b LPD /​ art. 17 al. 1 let. a nLPD) ou (ii) si le trans­fert est néces­saire à l’exé­cu­tion d’un contrat conclu (a) entre la personne concer­née et le respon­sable du trai­te­ment (art. 49 par. 1 let. b RGPD /​ art. 6 par. 2 al. c LPD /​ art. 17 al. 1 (b) (1) nLPD) ou (b) dans l’in­té­rêt de la personne concer­née (art. 49 par. 1 let. c RGPD /​ art. 17 al. 1 let. b ch. 2 nLPD). Il convient de noter que ces autres fonde­ments juri­diques sont consi­dé­rés comme rési­duels par le Comité Européen de la Protection des Données et consti­tuent donc des excep­tions qui sont soumises à des exigences spécifiques.
  2. Mesures tech­niques : Une autre alter­na­tive est de recou­rir à des mesures tech­niques de protec­tion (cryp­tage ou anony­mi­sa­tion des données). Cette option n’est pas dispo­nible si le réci­pien­daire doit trai­ter les données person­nelles afin de pouvoir rendre le service attendu (ainsi, les cloud service provi­ders offrent aujourd’­hui des services de trai­te­ment de données qui vont au-delà d’un simple stockage de données).

Ainsi, les SCC ne consti­tuent plus un « stan­dard » permet­tant ipso facto un trans­fert de données person­nelles vers un État dépourvu d’une recon­nais­sance d’adé­qua­tion. Le recours aux SCC doit être précédé d’une analyse de risques docu­men­tée, ce d’au­tant plus que, sous l’empire de la LPD actuelle, l’uti­li­sa­tion des SCC doit être noti­fiée au Préposé (art. 6 al. 3 LPD, une exigence à laquelle la nouvelle LPD renonce).



Proposition de citation : Philipp Fischer, Schrems II ou la quadrature du cercle, 18 octobre 2020 in www.swissprivacy.law/17


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Reconnaissance des SCC par la Suisse : tour d’horizon pour les entreprises helvétiques
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law