Après avoir invalidé le Safe Harbor par un arrêt rendu le 6 octobre 2015, la Cour de justice de l’Union européenne a jugé invalide la décision de la Commission européenne relative au bouclier de protection des données UE-Etats-Unis, dit Privacy Shield, par un arrêt du 16 juillet 2020. Elle estime que ce mécanisme qui permet à une organisation de transférer des données personnelles de l’UE vers les Etats-Unis n’offre pas un niveau de protection adéquat au regard du RGPD et de la Charte des droits fondamentaux de l’UE. En revanche, elle juge valide la décision de la Commission relative aux clauses contractuelles types qui autorise le transfert de données vers des sous-traitants établis hors UE.
Suite aux révélations d’Edward Snowden en 2013 sur les activités des services de renseignement américains, Maximillian Schrems, citoyen autrichien utilisateur de Facebook depuis 2008, avait porté plainte devant l’autorité de contrôle irlandaise lui demandant d’interdire le transfert transatlantique des données, faisant valoir que le droit et les pratiques des États-Unis n’offraient aucune protection réelle des données conservées outre-Atlantique contre la surveillance de l’État américain. Par un arrêt du 6 octobre 2015, la CJUE avait annulé la décision relative au Safe Harbor. Facebook opérant désormais ses transferts transatlantiques de données en vertu des clauses contractuelles types approuvées par la décision 2010/87 de la Commission européenne, Maximillian Schrems a été invité à reformuler sa demande en vue d’obtenir la suspension ou l’interdiction des transferts de données. Puis l’Autorité de contrôle irlandaise a sollicité la high court irlandaise afin qu’elle soumette à la CJUE une demande de décision préjudicielle sur la validité de la décision liée aux clauses types.
La Cour rappelle que les personnes dont les données font l’objet d’un transfert de l’UE vers les Etats-Unis, sur le fondement de clauses types de protection des données afin de bénéficier d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’UE par le RGPD, lu à la lumière de la Charte, doivent disposer de garanties appropriées, de droits opposables et de voies de recours effectifs. A cet effet, l’évaluation de ce niveau de protection doit se fonder sur les stipulations contractuelles convenues entre l’exportateur et le destinataire des données, en tenant compte d’un éventuel accès des autorités des Etats-Unis aux données ainsi transférées. Dans ces conditions, « à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission, l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union », estime la Cour.
Si la Cour ne remet pas en cause la validité de la décision relative aux clauses contractuelles types du fait que les autorités des Etats-Unis ne sont pas liées par un mécanisme contractuel, elle juge que cette validité dépend des mécanismes effectifs permettant en pratique d’assurer un niveau de protection requis et du fait que les transferts peuvent être suspendus ou interdits en cas de non-respect. Elle constate que de tels mécanismes ont été mis en place par cette décision.
La Cour a ensuite répondu à une question préjudicielle posée sur le fait de savoir si la décision du 12 juillet 2016 relative au bouclier de protection des données dit Privacy Shield, assure un niveau de protection adéquat. Elle constate que « cette décision consacre, à l’instar de la décision 2000/520, la primauté de ces exigences sur lesdits principes, primauté en vertu de laquelle les organisations américaines autocertifiées recevant des données à caractère personnel depuis l’Union sont tenues d’écarter, sans limitation, les mêmes principes lorsque ces derniers entrent en conflit avec lesdites exigences et s’avèrent donc incompatibles avec celles-ci ». Or, le droit américain ne comporte pas de limitations et de garanties nécessaires à l’égard des ingérences autorisées. Il n’offre pas davantage de protection juridictionnelle contre de telles ingérences. Quant au mécanisme de médiation, elle considère qu’il n’est pas de nature à pallier ces limitations. Pour ces raisons, cette décision a été invalidée.