La NSA rend-t-elle impossible tout transfert de données vers les Etats-Unis ?

7 février 2020

La Cour de justice de l’Union européenne (CJUE) a été saisie de la question de savoir si les transferts de données à caractère personnel vers les Etats-Unis, n’étaient pas contraires à la Charte des droits fondamentaux de l’Union européenne, même lorsque ces transferts sont couverts par des clauses contractuelles types, compte tenu des atteintes à la vie privée causées par la surveillance massive et indiscriminée pratiquée par la NSA. L’avocat général de la CJUE a rendu ses conclusions sur le sujet, le 19 décembre 2019 (affaire 311/18).

Un particulier autrichien, utilisateur de Facebook, a saisie l’autorité de contrôle irlandaise (le DPC) d’une plainte par laquelle il lui demandait, en substance, d’interdire à Facebook Ireland de transférer les données à caractère personnel le concernant vers les Etats-Unis. Il faisait valoir le fait que le droit et les pratiques en vigueur aux Etats-Unis ne garantissent pas une protection suffisante contre les intrusions découlant des activités de surveillance pratiquées par les autorités publiques, notamment la National Security Agency (NSA).

Le DPC a estimé que le droit américain n’offrait pas de voies de recours effectives au sens de l’article 47 de la Charte des droits fondamentaux de l’Union européenne aux citoyens de l’Union dont les données sont transférées aux Etats-Unis, où elles risquent d’être traitées par des agences américaines à des fins de sécurité nationale, d’une manière incompatible avec les articles 7 (« Respect de la vie privée et familiale) et 8 (« Protection des données à caractère personnel) de ladite Charte. Le DPC a relevé que les clauses contractuelles types (CCT) sont inefficaces à cet égard, car elles lient seulement l’exportateur et l’importateur, mais pas les autorités ou agences américaines.

Le DPC a engagé une procédure devant la juridiction de renvoi, à savoir la High Court, visant à ce que cette dernière, si elle partage les doutes du DPC, saisisse la CJUE d’un renvoi préjudiciel sur la validité de la décision d’adoption, par la Commission européenne, des CCT.

La juridiction de renvoi a relevé plusieurs éléments qui lui font dire que les Etats-Unis procèdent à « des traitements massifs et indiscriminés de données à caractère personnel qui pourraient exposer les personnes concernées à un risque de violation des articles 7 et 8 de la Charte » :

  • la NSA peut accéder aux données passant par les câbles sous-marins, avant même que lesdites données n’arrivent aux Etats-Unis ;
  • les activités de la NSA ne sont pas régies par la loi ;
  • les activités de la NSA ne font pas l’objet d’une surveillance judiciaire ;
  • les activités de la NSA ne sont pas susceptibles de recours juridictionnel.

Dans ce cadre, la High Court a décidé de surseoir à statuer et a notamment posé à la CJUE la question suivante :

La décision 2010/87, portant adoption des CCT par la Commission européenne, est-elle valide au regard des articles 7, 8 et 47 de la Charte, dans la mesure où elle ne lie pas les autorités des Etats tiers (type NSA) ?

Dans ses conclusions, l’avocat général a relevé que les CCT peuvent être « amenuisées, voire annihilées, lorsque le droit du pays tiers de destination impose à l’importateur des obligations contraires à ce que requièrent ces clauses ».

Pour l’avocat général, il incombe au responsable du traitement et à l’autorité de contrôle d’examiner le droit du pays tiers, afin de déterminer s’il fait obstacle à l’exécution des CCT : « c’est au cas par cas, pour chaque transfert spécifique, que le responsable du traitement ou, à défaut, l’autorité de contrôle, examinera si le droit du pays tiers de destination fait obstacle à l’exécution des clauses contractuelles types et, partant, à une protection appropriée des données transférées ».

Selon l’avocat général, si l’importateur se trouve dans l’incapacité de se conformer à ces clauses, il accepte d’en informer dans les meilleurs délais l’exportateur, auquel cas ce dernier a le droit de suspendre le transfert et/ou de résilier le contrat. Pour l’avocat général, le fait qu’il s’agisse d’un « droit » de suspendre le transfert et/ou de résilier le contrat ne porte pas préjudice à l’obligation de l’exportateur « de procéder ainsi au regard des exigences de protection des droits des personnes concernées découlant du RGPD ».

Par ailleurs, les autorités de contrôles sont tenues d’examiner les plaintes introduites par une personne dont les données sont transférées vers un Etats tiers en méconnaissance des CCT applicables au transfert. Le constat d’adéquation opéré dans la décision « Privacy Shield » ne prive pas les autorités de contrôle du pouvoir de suspendre ou d’interdire un transfert de données vers les Etats-Unis exécuté en vertu des CCT.

Pour l’avocat général, la validité de la décision 2010/87 « ne dépend pas du niveau de protection existant dans chaque pays tiers vers lesquels des données pourraient être transférées sur le fondement des CCT qu’elle énonce ».

En conséquence, l’avocat général n’a relevé aucun élément de nature à affecter la validité de la décision 2010/87 au regard des articles 7, 8 et 47 de la Charte.

Enfin, l’avocat général a émis, concernant la conformité de la décision « Privacy Shield », des observations, qui se bornent « à fournir certaines réflexions qui pourraient se révéler utiles à la Cour dans l’hypothèse où elle souhaiterait, contrairement à ce que [l’avocat général] préconise, statuer sur ce point ». Il relève ainsi que cette décision ne fait « pas apparaitre que les mesures de surveillance fondées sur l’EO 12333 seraient notifiées aux individus concernés ou encadrées par des mécanismes de contrôle juridictionnel ou administratif indépendant à un quelconque stade de leur adoption ou de leur mise en œuvre » et que l’institution du médiateur ne fournit pas, à son sens, une voie de recours devant un organe indépendant offrant une possibilité de faire valoir leur droit d’accès aux données ou de contester d’éventuels manquements aux règles applicables de la part des services de renseignement.

A vu de ce qui précède, l’avocat général a affirmé nourrir « certains doutes sur la conformité de la décision « Bouclier de protection des données » à l’article 45, paragraphe 1, du RGPD, lu à la lumière des articles 7,8 et 47 de la Charte ainsi que de l’article 8 CEDH ».

Lien vers la décision : https://www.doctrine.fr/d/CJUE/2019/CJUE62018CC0311?q=311%2F18&position=3&query_key=889565da77e20b883df26bd259b7f3b7&original_query_key=889565da77e20b883df26bd259b7f3b7&source=excerpt_results

DERRIENNIC ASSOCIES 

Tags: , , , , , , , , , ,