Arrêt Schrems II : Comment sortir de l’impasse ?

Une période d’incertitude juridique qui perdure

Le 16 juillet 2020, dans son arrêt dit “Schrems II”, la Cour de justice de l’Union européenne (CJUE) a invalidé l’accord encadrant les transferts transatlantiques de données – le Privacy Shield. La Cour a estimé que cet accord n’apportait pas les garanties suffisantes pour protéger les données personnelles des citoyens européens. S’est alors ouvert une période d’incertitude et d’insécurité juridique pour de nombreux acteurs européens.

Non seulement cette décision n’offre pas aux acteurs de délai de grâce leur permettant de l’analyser et de prendre les mesures adéquates, le cas échéant. Mais elle est également rétroactive. Au-delà des futurs transferts internationaux de données, la conformité de tous les transferts opérés sous le Privacy Shield depuis 2016 doit ainsi être réévaluée, remettant en question une multitude de contrats actuels. Dans la lignée de cet arrêt, une vague de premières plaintes ont été déposées, dont plusieurs à l’encontre d’entreprises françaises, alors même que la Commission européenne œuvrait à la mise à jour les clauses contractuelles types – outils à la disposition des acteurs pour encadrer ces transferts internationaux -, et que ses travaux devaient être finalisés sous peu.

Une interprétation stricte des régulateurs, qui pèse sur les acteurs

À la suite de cette décision, l’European Data Protection Board (EDPB), qui réunit les autorités nationales de protection des données, a publié une série de recommandations pour garantir le respect du niveau de protection des données personnelles de l’Union européenne (UE), dans le cadre de transferts internationaux de données.

S’il est important de saluer le fait que cette démarche ait eu lieu au niveau européen afin d’assurer l’harmonisation du cadre régional (à l’heure où les autorités nationales sont saisies par différentes plaintes à travers l’Europe), ces recommandations apparaissent toutefois difficilement applicables. L’EDPB retient notamment des critères extrêmement stricts, qui viennent se confronter à la réalité même des cadres nationaux européens : très peu de pays atteignent, en effet, le niveau des exigences portées par le comité européen, y compris les États membres, dont la France.

Une décision qui dépasse le champ de la protection des données personnelles

Au-delà de leur caractère strict, ces recommandations semblent omettre le principe essentiel de la hiérarchie des normes, à la base du droit. L’arrêt Schrems II fait apparaître un conflit de souveraineté entre États : est ici interrogé l’accès des gouvernements à des données qui sont protégées par d’autres droits. Cette décision soulève également la question de l’équilibre des droits fondamentaux, notamment entre lois de surveillance et protection de la vie privée. Or, la balance entre la sécurité et la liberté ne saurait s’arbitrer via le Règlement général sur la protection des données (RGPD). Un tel arbitrage doit relever d’une analyse de conformité à la Convention européenne des droits de l’homme (CEDH).

Cet équilibre pose d’autant plus de questions à l’heure où les approches quant à la sécurité nationale divergent entre États européens et que les initiatives législatives visant à organiser l’accès des autorités publiques aux données chiffrées se multiplient à travers l’UE. L’interprétation de cette décision dépasse le seul champ d’expertise des autorités de protection des données, qui ne sont ni des constitutionnalistes, ni des spécialistes de l’antiterrorisme.  À ce titre, la décision de la Cour de justice de l’Union européenne offre une marge de manœuvre pour garantir cet équilibre et son applicabilité.

Une “méthode de grâce” à défaut d’une période de grâce ?

Renaissance Numérique invite à poser les conditions d’une “méthode de grâce” partagée entre les acteurs : une approche proportionnée, fondée sur la diligence des acteurs et l’analyse des risques. Cette approche proposerait des exigences opérationnelles et réduirait le risque de sanctions précipitées tant que la doctrine européenne et les outils (les clauses contractuelles types modifiées) ne seront pas stabilisés et entrés en vigueur.

La décision de la CJUE n’est pas binaire et offre une palette de contextualisation pour analyser les transferts de données au cas par cas. Cette méthodologie devrait tenir compte de la sensibilité des données transférées, de la présence d’une finalité de surveillance régalienne sur certaines données, de l’inadéquation de certaines mesures techniques, de la complexité des chaînes de traitement, etc. Cette étape intermédiaire permettrait de ne pas rester dans l’impasse, en attendant un nouvel accord international solide.

À terme, la résolution ne passera qu’avec la signature d’un nouvel accord avec les États-Unis dans le respect de l’arrêt de la Cour. Alors que régulateurs et entreprises se renvoient la responsabilité, la situation perdure au risque de fragiliser nombre d’acteurs. Renaissance Numérique appelle la Commission européenne et l’exécutif européen à ouvrir une concertation avec les parties prenantes, afin que l’interprétation qui est faite de la décision de la Cour de justice de l’Union européenne donne lieu à une mise en œuvre harmonisée au sein de l’Union européenne. Ce dialogue devrait permettre aux instances européennes de réunir les expertises pertinentes, au-delà du seul champ de la protection des données – spécialistes du droit constitutionnel, du droit international et des questions de sécurité notamment -, et de définir des standards conformes à nos valeurs.