par
Me Laurence Champagne
Articles du même auteur
06 Oct 2020

Chronique du CTI – L’invalidation du bouclier de protection des données UE-États-Unis (Privacy Shield) en bref

Par Me Laurence Champagne

Laurence Champagne, avocate

 

 

 

Introduction

Dans le cadre de l’arrêt Schrems II,  la Cour de
Justice de l’Union européenne (CJUE) a invalidé, le 16 juillet 2020, la
décision d’adéquation du bouclier de protection des données Privacy Shield  permettant le
transfert de données personnelles entre les entreprises de l’Union européenne
et des États-Unis en vue de soutenir le commerce transatlantique. 

M. Maximillian Schrems, utilisateur de Facebook, a déposé une plainte
auprès de l’autorité irlandaise de contrôle notamment afin d’interdire le
transfert des données par Facebook Ireland vers des serveurs appartenant à
Facebook Inc. aux États-Unis[1]. Il a soutenu dans sa plainte
que le droit américain ne permet pas d’offrir une protection suffisante contre
l’accès à ses renseignements personnels par les autorités publiques
américaines. L’arrêt Schrems II fait suite à la décision de la CJUE rendue en
2015 invalidant le Safe Harbor (Schrems
I
) et invitant M. Schrems à reformuler sa plainte.

L’arrêt Schrems II porte entre autres sur deux questions en litige
principales, à savoir; (1) la validité des clauses contractuelles types afin de
transférer des données à caractère personnel vers des sous-traitants établis à
l’extérieur de l’Union européenne ainsi que (2) la validité du statut
d’adéquation Privacy Shield entre l’Union européenne et les États-Unis.

1)   L’invalidation du
statut d’adéquation Privacy Shield afin de transférer des données à
caractère personnel entre l’Union européenne et les États-Unis

 

La CJUE a invalidé le Privacy Shield pour les motifs que les lois
américaines États-Unis n’offrent pas un niveau de protection adéquat aux
données personnelles provenant de l’Europe. En effet, il a été jugé que les
programmes de surveillance américains rendent possible une ingérence dans les
droits fondamentaux des résidents européens. Comme cette ingérence n’est pas
limitée conformément au principe de proportionnalité, les lois internes
américaines font défaut d’offrir un mécanisme de protection équivalent à celui
applicable en vertu des lois européennes. 

 

Selon la CJUE, « une réglementation ne
prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit
afin d’avoir accès à des données à caractère personnel le concernant, ou
d’obtenir la rectification ou la suppression de telles données, ne respecte pas
le contenu essentiel du droit fondamental à une protection juridictionnelle effective
»[2].

 

2)    
La
validité des clauses contractuelles afin de transférer des données à caractère
personnel vers des sous-traitants établis dans des pays tiers

 

La Cour a toutefois reconnu la validité des clauses contractuelles types
comme mécanisme afin de procéder au transfert de données personnelles vers un
pays tiers, car celles-ci ne lient pas les autorités dudit pays. Cependant, le
transfert des données ne peut être effectué que si le pays tiers dispose de
garanties appropriées et que les résidents européens bénéficient de droits
opposables et de voies de droits effectives[3].

 

En effet, le transfert de données à caractère personnel de l’Union européenne
vers un pays tiers n’est possible que s’il est fait vers un pays tiers détenant
des garanties de protection substantiellement équivalentes à celles prévues au
sein de l’Union européenne. Pour ce faire, le contenu des clauses
contractuelles types ainsi que les éléments pertinents du système juridique du
pays tiers comme indiqué au paragraphe 2 de l’article 45 du Règlement général sur la protection
des données
(RGPD)
doivent être évalués, notamment l’état de droit, le respect des droits de
l’homme et des libertés fondamentales, la législation pertinente, la défense,
la sécurité nationale et le droit pénal, etc[4].

 

Conformément aux clauses contractuelles types, l’exportateur des données
doit d’abord s’assurer, avant de procéder à l’exportation des données, qu’un
niveau de protection équivalent est offert dans le pays tiers alors qu’il
revient à l’importateur des données de suspendre ou d’arrêter le transfert s’il
se retrouve incapable de se conformer auxdites clauses[5]. Il incombe donc à
l’exportateur et à l’importateur des données de « compenser l’insuffisance de
la protection des données dans le pays tiers » afin d’« assurer le respect des
exigences en matière de protection des données et des droits des personnes
concernées d’une manière appropriée au traitement au sein de l’Union »[6]. Le transfert des données
doit être suspendu ou interdit en cas de violation des clauses contractuelles
types ou d’impossibilité d’honorer lesdites clauses dans le pays tiers. 

 

Conclusion

En l’absence du statut d’adéquation, le transfert des renseignements personnels
ne peut être réalisé que si les garanties appropriées sont mises en place, c’est-à-dire
par l’entremise des clauses contractuelles types, des règles d’entreprise
contraignantes ou du consentement explicite de la personne concernée[7]. La Cour a d’ailleurs
souligné que rien n’empêche les entreprises à insérer lesdites clauses dans un
contrat plus large et d’y inclure des garanties supplémentaires à condition
toutefois que celles-ci ne contredisent pas les clauses contractuelles types et
qu’elles ne portent pas atteinte aux droits fondamentaux de la personne visée[8]

 

—————————————–

Les chroniques du CTI sont rédigées par un ou plusieurs membres du Comité Technologies de l’information (CTI)
dans le but de susciter les discussions et de soulever les réflexions
au sein de la communauté juridique à propos des nouvelles technologies
et le droit. Les auteurs sont donc seuls responsables du contenu des
articles et l’opinion qui y est véhiculée n’est pas celle du JBM, mais
bien celle des auteurs. Si vous désirez rédiger une chronique, envoyez
un courriel au cti@ajbm.qc.ca.  


[1] Cour de justice de l’Union européenne, Communiqué de presse n°91/20, Luxembourg, le 16 juillet 2020, arrêt dans
l’affaire C-311/18.

[2] Cour de justice de l’Union européenne, 16 juillet 2020, affaire
C-311/18, Data Protection
Commissioner/Maximillian Schrems et Facebook Ireland Ltd.
, par. 187.

[3] Ibid., par. 91.

[4] Ibid., par. 105.

[5] Décision d’exécution (UE) 2016/2297 de la commission du 16 décembre 2016 modifiant
les décisions 2001/497/CE et 2010/87/UE relatives aux clauses contractuelles
types pour le transfert de données à caractère personnel vers des pays tiers et
vers des sous-traitants établis dans ces pays, en vertu de la directive
95/46/CE du Parlement européen et du Conseil, article 4 et 5.

[6] Cour de justice de l’Union européenne, 16 juillet 2020, affaire
C-311/18, Data Protection
Commissioner/Maximillian Schrems et Facebook Ireland Ltd.
, par. 95.

[7] Règlement (UE) 2016/679 du parlement européen et du conseil du 27
avril 2016 relatif à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel et à la libre circulation de ces
données, et abrogeant la directive 95/46/CE (règlement général sur la
protection des données), par. 108 et 111.

[8] Cour de justice de l’Union européenne, 16 juillet 2020, affaire
C-311/18, Data Protection
Commissioner/Maximillian Schrems et Facebook Ireland Ltd.
, par. 109.

Commentaires (0)

L’équipe du Blogue vous encourage à partager avec nous et nos lecteurs vos commentaires et impressions afin d’alimenter les discussions sur le Blogue. Par ailleurs, prenez note du fait qu’aucun commentaire ne sera publié avant d’avoir été approuvé par un modérateur et que l’équipe du Blogue se réserve l’entière discrétion de ne pas publier tout commentaire jugé inapproprié.

Laisser un commentaire