Le contexte
Décisions d’Exécution (UE) 2016/2295 [1] et (UE) 2016/2297[2] de la Commission du 16 décembre 2016
Dans son arrêt du 6 octobre 2015 dans l’affaire C-362/14 Maximillian Schrems/Data Protection Commissioner, la CJUE a décidé que les autorités nationales en charge de la protection des données personnelles (« APD ») en Europe devaient conserver le pouvoir d’assurer la protection des données personnelles conformément à la Directive 95/46 sur la protection des données et de la Charte des droits fondamentaux de l’Union européenne, et que ce pouvoir ne peut être restreint par une décision de la Commission.
Or, des limites aux pouvoirs des APD similaires à celles du Safe Harbor existent, tant dans les 10 décisions d’adéquation (autres que celle du Privacy Shield), que dans les décisions adoptant les CCT.
Après que la CJUE ait invalidé le Safe Harbor en 2015, Facebook a opté pour les CCT comme nouvelle base de transfert vers les États-Unis des données d’utilisateurs de l’UE. À la suite d’une nouvelle action de M. Schrems, la question du transfert fondé sur le CCT a été renvoyée par l’APD irlandaise devant la Haute Cour irlandaise, ce qui la rend donc susceptible de recours préjudiciel devant la CJUE. C’est probablement pour éviter tout risque d’invalidation par la CJUE, que la Commission a décidé de changer, dans l’urgence, ses décisions sur les CCT ainsi que les décisions d’adéquation.
En raison de la différence de nature de chaque outil, les modifications sont similaires mais non identiques.
Les modifications apportées aux décisions adoptant des clauses contractuelles types (CCT)
Dans sa décision d’exécution (UE) 2016/2297, la Commission a modifié les décisions d’adoption des CCT responsable de traitement à sous-traitant (2010/78/CE) et des CCT responsable de traitement à responsable de traitement (2001/497/CE modifié par 2004/915/CE).
L’objectif est d’éliminer toute restriction illicite aux pouvoirs de l’APD « de contrôle des flux de données, notamment le pouvoir de suspendre ou d’interdire un transfert de données à caractère personnel, lorsqu’elle constate que ce transfert est effectué en violation de la législation de l’Union européenne ou de l’État membre en matière de protection des données ».
Le texte des CCT demeure inchangé.
Modification des décisions d’adéquation
Dans sa décision d’exécution (UE) 2016/2295, la Commission a modifié les décisions d’adéquation de chacun des pays concerné à savoir : la Principauté d’Andorre, l’Argentine, Le Canada (organisations commerciales), les îles Féroé, Guernesey, Israël, l’île de Man, Jersey, la Nouvelle-Zélande, la Suisse et l’Uruguay.
L’objectif est d’éliminer toute restriction illicite aux pouvoirs de la APD qui l’empêcherait « d’examiner la demande d’une personne relative au niveau de protection de ses données à caractère personnel assuré dans un pays tiers visé par une décision d’adéquation de la Commission et, si elle l’estime pertinent, d’engager un recours devant les juridictions nationales afin que ces dernières, si elles partagent les doutes de cette autorité quant à la validité de la décision de la Commission, procèdent à un renvoi préjudiciel aux fins de l’examen de la validité de cette décision ».
La spécificité des décisions d’adéquation est que les APD « ne sauraient adopter des mesures contraires à une décision d’adéquation de la Commission, telles que des actes déclarant cette décision invalide ou des actes visant à constater avec effet contraignant que le pays tiers visé par ladite décision n’assure pas un niveau de protection adéquat ».
Comme dans le RGPD, les décisions révisées incluent également l’obligation pour la Commission de « suivre les évolutions de l’ordre juridique » du pays tiers « susceptibles d’entraver le fonctionnement de la présente décision, notamment les évolutions concernant l’accès des autorités publiques aux données ». Le cas échéant la Commission devra informer les autorités locales du pays concerné et préparer des projets de mesures « en vue d’annuler ou de suspendre la décision ou d’en limiter la portée ». Les États membres et la Commission « s’informent mutuellement » des situations préoccupantes.
Ces décisions sont-elles maintenant parées pour l’avenir?
En ce qui concerne la décision d’adéquation pour les pays tiers, le G29, qui a été consulté sur ces révisions (avis 04/2016 ,WP 241), a regretté que la Commission n’ait pas procédé à une « évaluation approfondie » de la question de savoir si les pouvoirs publics de ces pays « responsables de la sécurité nationale, de l’application de la loi ou d’autres intérêts publics n’interfèrent pas » avec les droits à la vie privée et à la protection des données, « au-delà de ce qui est strictement nécessaire ou qu’il n’existe pas de protection juridictionnelle effective contre des interférences de cette nature ». Ceci alors même que cette question a été le deuxième fondement de l’invalidation du Safe Harbor par la CJUE.
Le WP29 regrette également que la révision ne couvre pas les modifications requises en application du RGPD.
Il apparait donc que le travail sur ces outils de transfert n’est pas achevé. De plus, entre le pouvoir reconnu aux autorités de contrôle et la fragilité des décisions d’adéquation (y compris le Privacy Shield),il est plus important que jamais d’agir avec précaution en matière de transfert international des données.
Contact : stephanie.faber@squirepb.com
[1] Décision d’Exécution (UE) 2016/2295 du 16 décembre 2016 modifiant les décisions 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE et 2011/61/UE, et les décisions d’exécution 2012/484/UE et 2013/65/UE constatant, conformément à l’article 25, paragraphe 6, de la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par certains pays
[2] Décision d’Exécution (UE) 2016/2297 du 16 décembre 2016 modifiant les décisions 2001/497/CE et 2010/87/UE relatives aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers et vers des sous-traitants établis dans ces pays, en vertu de la directive 95/46/CE du Parlement européen et du Conseil