La Data Protection Commission Ireland (DPC), a rendu sa décision après consultation de ses homologues européens, y compris la CNIL à l’occasion de laquelle ont été constatés des désaccords sur la sanction à prononcer. Ces divergences ont été résolues par le Comité européen de la protection des données (CEPD) en faveur d’une amende « efficace et dissuasive ».
Cette décision porte en effet de l’amende la plus élevée pour une violation du RGPD et représente le dernier chapitre de la saga judiciaire opposant Facebook et Max Schrems, militant autrichien de la vie privé, lancé il y a 10 ans après les révélations d’Edward Snowden sur les pratiques de surveillance de masse des agences de sécurité américaines.
En pratique, cette décision montre une volonté de la part des régulateurs européens de se coordonner et d’appliquer strictement les exigences du RGPD en matière de transferts de données vers les Etats-Unis. Le CEPD semble donc vouloir sortir de la zone grise sur les transferts hors UE depuis l’annulation du « Privacy Shield » par la Cour de justice de l’Union européenne (CJUE) en 2020.
En substance, la DPC considère que Meta avait transféré des données personnelles des utilisateurs européens de Facebook vers les Etats-Unis en violation des règles du RGPD, et ce malgré le recours par Meta aux « Clauses contractuelles types » (CCT) de la Commission européenne.
Les CCT sont censées représenter une « garantie appropriée » au sens du RGPD, permettant un transfert de données vers un destinataire situé dans un pays tiers hors de l’UE (cliquez ici pour plus d’explications), à condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.
Or, depuis la décision de la CJUE dans l’affaire « Schrems II » du 16 juillet 2020[1], l’utilisation des CCT s’agissant des transferts de données vers les États-Unis est fragilisée. En effet, après avoir indiqué que la signature des CCT entre deux sociétés privées ne lie pas les autorités américaines, qui ne sont pas parties du contrat, la Cour considère que les lois américaines ne confèrent pas aux personnes concernées des droits opposables et des voies de droit effectives.
Par conséquent, il est désormais demandé aux acteurs du transfert d’analyser le niveau de protection des données dans le pays tiers en question (procédure souvent appelée « transfer impact assessment » ou « TIA ») et, le cas échéant, de mettre en place des mesures complémentaires à la signature des CCT, pour assurer une protection adéquate des droits et libertés des individus concernés.
Dans le cas d’espèce, Meta avait signé des CCT et réalisé un TIA et indiquait avoir mis en place des mesures supplémentaires. Or, la DPC a considéré que ces mesures n’étaient pas suffisantes pour compenser la protection « inadéquate » fournie par la loi américaine.
La décision reconnait toutefois la possibilité que de nouvelles mesures, à ce stade inappliquées, pourraient être développées et appliquées pour combler ces déficiences.
En outre la DPC a rejeté l’argument de Meta en vertu duquel ses transferts pourraient être fondés sur une dérogation prévue par l’article 49 du RGPD, notamment la nécessité contractuelle afin de justifier des transferts systématiques, massifs, répétitifs et continus.
La DPC avait préparé un premier projet de décision dans lequel elle proposait d’ordonner la suspension des transferts mais de ne pas imposer une amende administrative.
Le projet a d’abord été partagé avec les autres autorités de contrôle indépendantes des États-membres de l’UE. Certains de ces dernières, en ce compris CNIL, se sont opposés pour partie au projet de décision sur les points suivants notamment :
Ces deux questions ont été tranchées par le CEPD en sa qualité d’organe de coordination entre les différents régulateurs. Le CEPD a ainsi décidé (1) qu’une amende administrative était nécessaire et (2) qu’il convenait de contraindre Meta Ireland de mettre fin au traitement illicite de données, y compris le stockage dans les Etats-Unis des données personnelles des utilisateurs dans l’UE.
En ce qui concernait le montant de l’amende, le CEPD a examiné la question de savoir si Meta avait ignoré sciemment les exigences issues de l’arrêt Schrems II.
Dans ce cadre, le CEPD indique que, selon ses propres arguments, Meta semble considérer que la loi et la pratique applicables aux Etats-Unis fournissaient déjà un niveau de protection équivalent à celui en place au sein de l’UE. Par conséquent, les mesures complémentaires seraient implémentées « sur la base d'une évaluation concluant à l'absence de nécessité de telles mesures ».
Or cette prise de position étant contraire à l’analyse de la CJUE dans Schrems II, Meta « ne pouvait pas ignorer » que ses transferts pouvaient être considérés comme constitutif d’une violation du RGPD.
Dans ces circonstances, le CEPD a considéré que Meta avait « commis l'infraction avec le plus haut degré de négligence a minima » (« committed the infringement at least with the highest degree of negligence »).
Cette décision illustre la sanction attachée au défaut de conformité lorsque des transferts de données hors UE sont fondés sur la signature des CCT sans que des mesures complémentaires suffisantes soient prises.
Cette décision est dans la lignée d’autres décisions récentes des autorités de protection des données et notamment celles de la CNIL de mettre en demeure des éditeurs de site Internet d’avoir utilisé Google Analytics, solution impliquant également des transferts vers les Etats-Unis.
Le CEPD utilise sa boite à outils, et notamment l’injonction de suppression des données. Il appartiendra aux autorités nationales de la protection des données, en France la CNIL, de veiller à l’effectivité de ces mesures. La problématique risque toutefois d’être un manque potentiel de moyens ou de volonté politique ou stratégique, selon les états.
Dès lors, il appartient aux acteurs français de cartographier leurs transferts de données personnelles hors UE, de réaliser des TIA et, le cas échéant, de mettre en place des mesures supplémentaires efficaces en complément des clauses types.
Les avocats de notre Pôle Data sont à votre disposition pour vous aider dans la mise en place de ces démarches et plus généralement sur l’encadrement des relations avec vos sous-traitants étrangers, vos analyses de vos transferts (TIA) et les formations de vos équipes à cet égard.
Lien vers la décision du DCP : https://edpb.europa.eu/our-work-tools/consistency-findings/register-decisions/2023/decision-data-protection-commission_en
[1] CJUE, 16 juillet 2020, DPC c. Facebook Ireland Ltd et Schrems (dit Schrems II), affaire C-311/18.