La question de la compatibilité entre la protection offerte par le droit américain en matière de données à caractère personnel et les exigences du règlement général de protection des données (RGPD) s’est posée avec une acuité particulière ce 12 mai 2023.
La Data Protection Commission (DPC), régulateur irlandais pendant de la Commission nationale de l’informatique et des libertés (CNIL) française, a en effet été saisi d’une enquête relative au transfert par Meta (maison mère de Facebook) de données à caractère personnel depuis l’Union européenne vers les États-Unis.
En la matière, l’article 46 § 1 du RGPD prévoit qu’en l’absence d’acte d’exécution par lequel la Commission européenne estime qu’un pays tiers assure une protection adéquate à celle offerte par le droit de l’Union, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un tel pays que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.
Pour assurer la conformité du transfert au niveau de protection requis par le RGPD, des « clauses contractuelles types » (CCT) peuvent être établies entre les deux parties au transfert (responsables de traitement exportateur et importateur).
Sans censurer cette pratique, la CJUE avait toutefois relevé, trois ans plus tôt, que dans la mesure où les autorités du pays destinataire des données ne sont pas parties à ce contrat, celui-ci ne leur est pas opposable[1]. Elle avait ainsi jugé que les CCT ne pouvaient suffire à assurer la conformité du transfert au RGPD, des garanties supplémentaires devant nécessairement être prévues en sus de ces clauses.
Or, en l’occurrence, bien que Meta ait réalisé les transferts de données sur la base d’un modèle de CCT adopté par la Commission européenne[2] en conjonction avec des mesures supplémentaires, la DPC a considéré que les dispositions ainsi prévues ne suffisaient pas à écarter tout risque pour les libertés et droits fondamentaux des personnes concernées par le transfert.
En conséquence, le régulateur irlandais a ordonné à Meta de suspendre tout transfert futur de données personnelles vers les États-Unis d’ici le 12 octobre 2023[3]. Il lui a également ordonné de mettre ses opérations de traitement en conformité avec le RGPD, en cessant le traitement illégal, y compris le stockage, aux États-Unis des données personnelles transférés en violation du RGPD d’ici le 12 novembre 2023[4]. Enfin, Meta devra s’acquitter d’une amende administrative d’un montant de 1,2 milliard d’euros[5].
L’entreprise entend cependant interjeter appel de cette décision, dans l’attente de l’adoption – potentiellement prochaine – d’un accord encadrant le transfert de données personnelles entre l’Union européenne et les États-Unis, fondé sur le nouveau cadre juridique adopté transatlantique, l’Executive Order, après l’échec du Safe Harbor[6] et du Privacy Shield[7].
[1] CJUE, gde ch. 16 juill. 2020, aff. C-311/18, Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems.
[2] Décision de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil.
[3] Sur le fondement de l’article 58, § 2, point j), du RGPD.
[4] Sur le fondement de l’article 58, § 2, point d), du RGPD.
[5] Infligée sur le fondement de l’article 58, § 2, point i), du RGPD.
[6] Invalidé par la CJUE : CJUE, 6 oct. 2015, aff. C-362/14, Schrems c/ Data Protection Commissioner.
[7] Invalidé par la CJUE : CJUE, gde ch. 16 juill. 2020, Op. cit.