**English version below**

Première partie : les transferts internationaux de données personnelles

L’autrichien Max Schrems n’est encore qu’un étudiant en droit lorsque débute son long combat pour obtenir de l’entreprise Facebook qu’elle applique correctement la législation européenne en matière de protection des données personnelles. Alerté par les révélations d’Edward Snowden sur les pratiques de surveillance de la NSA, il va notamment contester en 2013 la possibilité pour le réseau social d’exporter des données vers les États-Unis.

En 2015, il obtient une victoire au retentissement mondial devant la Cour de justice de l’Union européenne (CJUE). Les États-Unis étaient jusqu’alors considérés comme un pays présentant un « niveau de protection des données adéquat » à chaque fois que l’entité américaine importatrice d’informations s’était pliée aux exigences d’un programme du Département du commerce américain appelé le « Safe Harbour ». La CJUE estime que la Commission a sous-estimé les risques que la législation antiterroriste américaine fait courir aux données des européens. Elle annule la « décision d’adéquation », remettant en cause la possibilité pour des milliers d’entreprises d’envoyer des informations personnelles outre-Atlantique.

Toutefois, les USA mettent sur pied un remplaçant au Safe Harbour, le « Privacy Shield », supposé garantir de manière plus efficace les droits des citoyens de l’Union. Max Shrems, qui a entre-temps fondé la très active association None of Your Business (NOYB) forme un nouveau recours. La CJUE se prononce à l’été 2020, dans un arrêt « Schrems 2 ». Elle constate que le Foreign Intelligence Service Act et l’Executive Order 12333 n’encadrent pas de manière suffisamment étroite les programmes de surveillance américains (§184), et annule une nouvelle fois la décision d’adéquation de la Commission.

En Suisse, le Préposé fédéral à la protection des données et à la transparence procède en septembre 2020 à son examen annuel de l’accord Swiss – US Privacy Shield et estime à son tour que le « bouclier » n’offre pas une protection adéquate. Il rappelle toutefois que « il n’existe en Suisse aucune jurisprudence comparable à celle de l’arrêt précité de la CJUE. Les tribunaux suisses, en se fondant sur l’art. 6 de la LPD suisse, pourraient arriver aux mêmes conclusions concernant l’accès aux données par les autorités américaines que la CJUE en application du RGPD, mais cette question reste à ce jour ouverte ».

L’Europe, en revanche, bascule dans l’inconnu. Certes, le Règlement général sur la protection des données prévoit qu’en l’absence de décisions d’adéquation, les transferts vers un pays tiers sont néanmoins possibles sur la base de « garanties appropriées » (article 46). En particulier, il reste théoriquement possible de recourir aux « clauses contractuelles types de la Commission européenne » (CCT), un ensemble de stipulations qu’il faut insérer dans une convention conclue entre l’entité européenne exportatrice de données et l’entité étrangère importatrice. Mais que peut faire un simple « RGPD miniature » de nature purement contractuelle, placé bien bas dans la hiérarchie des normes, contre une législation antiterroriste trop puissante ? « Rien », est-on tenté de répondre. La CJUE explique plus sobrement que c’est au duo exportateur-importateur de données qu’il convient d’étudier, ensemble, si la protection conférée aux données par l’instrument contractuel est suffisante (§141). Un tel audit global des législations en cause apparaît hors de portée de beaucoup de responsables de traitement, supposés réussir là où les puissants services de la Commission européenne ont échoué. Si la protection apportée par les CCT apparaît trop faible, il leur faudra alors recourir à « mesures supplémentaires » dont on peine à apercevoir la nature et, si cela n’est toujours pas suffisant, il sera obligatoire de suspendre le traitement (§113).

Il faut bien comprendre que les transferts de l’UE vers les USA ne sont pas les seuls menacés, au terme de ce raisonnement. L’arrêt rappelle une nouvelle fois que les décisions d’adéquation de la Commission sont susceptibles d’être annulées par le juge européen : il pourrait en aller ainsi, demain, pour l’Argentine, la Nouvelle-Zélande ou le Japon. Mais l’essentiel des pays tiers n’a bénéficié à aucun moment d’une décision d’adéquation. Pour eux, l’essentiel des transferts a lieu sur la base de CCT, qui ressortent incroyablement fragilisées de la décision Schrems 2. C’est donc la capacité de l’Europe (et peut-être de la Suisse) à faire circuler des données personnelles à l’échelle mondiale qui est potentiellement compromise. Or, de nombreux flux internationaux économiques, sociaux et culturels requièrent la circulation d’informations personnelles.

Cette situation en apparence ubuesque est en réalité logique. La CJUE est suffisamment indépendante pour obliger l’Union à tirer toutes les conséquences des règles de protection des données dont elle s’est dotée. Des dossiers dans lesquels la Commission européenne adopte une attitude teintée de réalisme politique, de volonté de préserver les intérêts économiques des États-membres et de diplomatie sont approchés par le juge européen sous le seul angle du droit. Il est vrai qu’il y avait peu de sens à fixer un niveau élevé de protection des données dans l’ordre interne, si la vie privée des européens pouvait ensuite être compromise sitôt franchies les frontières de l’Union : de là viennent les règles sévères encadrant les exports. Mais surgit alors une réalité crue : tous les pays du monde n’entendent pas suivre le modèle européen de protection des données, ni même veiller suffisamment au respect des informations des européens. La suite du dossier apparaît alors au moins aussi politique que juridique. Des négociations difficiles s’annoncent, avec les USA et bien d’autres.

En attendant, l’heure va bientôt sonner pour les autorités de protection des données d’ordonner les premiers arrêts de transferts transatlantiques, dans le dossier Facebook et ailleurs. Si elles reculent, elles risquent leur crédibilité. Si elles agissent, le grand public découvrira, médusé, un dossier dont il semble n’avoir pour l’heure aucun écho. L’orage gronde, et la foudre pourrait bientôt tomber.

Personal data: the thunderstorm rumbles

Part one: international transfers of personal data

The Austrian activist Max Schrems was only a law student when his long fight to get Facebook to correctly apply European data protection legislation began. After being deeply impacted by Edward Snowden’s revelations about the NSA’s surveillance practices, he notably challenged in 2013 the possibility for the social network to export data to the United States.

In 2015, he won a victory with worldwide resonance before the Court of Justice of the European Union (CJEU). Until then, the United States was considered to offer an “adequate level of data protection” whenever an American entity importing information complied with the requirements of a U.S. Department of Commerce program called the “Safe Harbour”. The CJEU considered that the Commission underestimated the risks that the US anti-terrorism legislation posed to European data. It overturned the “adequacy finding”, calling into question the possibility for thousands of companies to send personal information across the Atlantic.

However, the United States has set up a replacement for the Safe Harbour programm, the “Privacy Shield”, which is supposed to guarantee the rights of European citizens more effectively. Max Shrems, who in the meantime founded the very active None of Your Business (NOYB) association, filed a new appeal. The CJEU ruled in the summer of 2020 in a “Schrems 2” decision. It found that the Foreign Intelligence Service Act and Executive Order 12333 did not provide a sufficiently tight framework for American surveillance programs (§184), and once again overturned the Commission’s decision on adequacy.

In Switzerland, the Federal Data Protection and Information Commissioner conducted his annual review of the Swiss – US Privacy Shield agreement in September 2020 and in turn found that the “shield” does not offer adequate protection. He pointed out, however, that “there is no case law in Switzerland comparable to that of the above-mentioned CJEU ruling. The Swiss courts, relying on Art. 6 of the Swiss Federal Act on Data Protection, could come to the same conclusions regarding access to data by the American authorities as the CJEU under the GDPR, but this question remains open to this day”.

Europe, on the other hand, is rocking into the unknown. Admittedly, the General Data Protection Regulation provides that in the absence of adequacy decisions, transfers to a third country are nevertheless possible on the basis of “appropriate safeguards” (Article 46). In particular, it remains theoretically possible to use the “European Commission’s standard contractual clauses” (SCC), a set of stipulations that must be inserted in an agreement between the European data exporting entity and the foreign importing entity. But what can a simple “miniature GDPR” of a purely contractual nature, placed far down in the hierarchy of norms, do against overly powerful anti-terrorism legislation? “Nothing”, one is tempted to answer. The CJEU explains more soberly that it is for the data exporter-importer duo to consider, together, whether the protection conferred on data by the contractual instrument is sufficient (§141). Such a global audit of the legislations in question seems beyond the reach of many data controllers, who are supposed to succeed where the powerful services of the European Commission have failed. If the protection provided by the SCC appears too weak, they will have to resort to “additional measures”, the nature of which is hard to see, and if this is still not sufficient, it will be mandatory to suspend processing (§113).

It must be understood that transfers from the EU to the US are not the only ones threatened, according to this reasoning. The judgment reminds us once again that the Commission’s adequacy decisions are likely to be overturned by a European judge: this could be the case tomorrow for Argentina, New Zealand or Japan. But most third countries have not, at any time, benefited from a decision of adequacy. For them, most transfers take place on the basis of the SCC, which are incredibly weakened by the Schrems 2 decision. It is therefore Europe’s (and perhaps Switzerland’s) ability to circulate personal data on a global scale that is potentially compromised. Many international economic, social and cultural flows require the circulation of personal information.

This seemingly grotesque situation is actually logical. The CJEU is sufficiently independent to oblige the European Union to draw all the consequences of the data protection rules it has adopted. Cases in which the European Commission adopts an attitude tinged with political realism, a desire to preserve the economic interests of the Member States and diplomacy are approached by European courts solely from a legal standpoint. It is true that it made little sense to set a high level of data protection in the internal order, if the privacy of Europeans could then be compromised as soon as they crossed the borders of the Union: hence the strict rules governing exports. But then a stark reality emerges: not all countries in the world intend to follow the European model of data protection, or even to ensure sufficient compliance when handling data of Europeans. The rest of the story then appears to be at least as political as it is legal. Difficult negotiations are on the horizon, with the United States and many others.

In the meantime, the time will soon come for data protection authorities to order the first stops of transatlantic transfers, in the Facebook case and elsewhere. If they back down, they risk their credibility. If they take action, the general public will discover, in amazement, a dossier that seems to have no echo for the moment. The thunderstorm is rumbling, and lightning could strike soon.

Auteur(s) de cette contribution :

Emmanuel Netter
Page Web | Autres publications

Professeur de droit privé à l‘Université d‘Avignon et directeur du Laboratoire Biens, Normes, Contrats (EA3788)