Aller au contenu
NNextHop
Comprendre

Schrems II, l'arret qui a redessine les transferts UE-USA.

Le 16 juillet 2020, la Cour de justice de l'Union europeenne invalide le Privacy Shield et conditionne les transferts de donnees vers les Etats-Unis a des garanties techniques verifiables. Decryptage d'une jurisprudence structurante pour la souverainete numerique europeenne.

L'essentiel

Schrems II designe l'arret de la Cour de justice de l'Union europeenne (CJUE) du 16 juillet 2020, affaire C-311/18.
L'arret invalide la decision d'adequation Privacy Shield qui encadrait les transferts de donnees personnelles vers les Etats-Unis depuis 2016.
Il valide par ailleurs les clauses contractuelles types (CCT) comme outil de transfert, mais exige un controle au cas par cas de la legislation du pays destinataire.
Les decisions consecutives (CNIL Google Analytics, EDPB) confirment qu'un transfert vers un sous-traitant soumis au CLOUD Act ou a la FISA 702 expose a un risque non couvert par les seules CCT.

Definition

Qu'est-ce que Schrems II ?

Schrems II est le nom usuel donne a l'arret rendu par la Cour de justice de l'Union europeenne le 16 juillet 2020, dans l'affaire C-311/18 opposant Maximilian Schrems et la Data Protection Commissioner irlandaise. Maximilian Schrems est un militant autrichien deja a l'origine de l'arret Schrems I, qui avait invalide en 2015 l'accord Safe Harbor entre l'UE et les Etats-Unis.

L'affaire portait sur les transferts de donnees personnelles de la filiale irlandaise de Facebook vers sa maison mere americaine. La Cour devait se prononcer sur deux outils de transfert : la decision d'adequation Privacy Shield et les clauses contractuelles types (CCT) figurant dans la decision 2010/87 de la Commission.

La Cour invalide le Privacy Shield et juge que la legislation americaine, en particulier la section 702 du FISA et l'Executive Order 12333, ne garantit pas un niveau de protection essentiellement equivalent a celui assure par le droit de l'Union. Elle confirme la validite des CCT comme outil, mais impose une evaluation cas par cas du contexte juridique du pays destinataire.

Contexte historique

De Snowden au Data Privacy Framework

Juin 2013Revelations Edward Snowden sur les programmes de surveillance de masse americains, notamment PRISM mene au titre de la section 702 du FISA.
Octobre 2015Premier arret Schrems (Schrems I, C-362/14) qui invalide l'accord Safe Harbor entre l'UE et les USA, juge insuffisant pour proteger les donnees personnelles europeennes.
Aout 2016Entree en vigueur du Privacy Shield, accord destine a succeder au Safe Harbor.
Juillet 2018Adoption du CLOUD Act aux Etats-Unis, qui renforce les pouvoirs d'injonction extraterritoriaux des autorites americaines.
16 juillet 2020Arret Schrems II (C-311/18). La CJUE invalide le Privacy Shield et impose une analyse cas par cas pour les transferts via clauses contractuelles types.
Fevrier 2022La CNIL declare illegale l'utilisation de Google Analytics en l'etat, faute de garanties suffisantes contre l'acces des autorites americaines aux donnees.
Juillet 2023Adoption d'une nouvelle decision d'adequation, le Data Privacy Framework, encadrant a nouveau les transferts UE-USA. Sa solidite juridique fait deja l'objet de recours pendants devant la CJUE.

Impact concret

Ce que l'arret a change pour les organisations europeennes

Six consequences observees dans les pratiques de gouvernance des donnees depuis 2020.

Privacy Shield invalide

L'arret prive les transferts UE-USA de leur base juridique principale entre juillet 2020 et juillet 2023. Pendant cette periode, les organisations doivent justifier les transferts par d'autres outils (CCT plus mesures supplementaires, regles d'entreprise contraignantes, derogations).

Clauses contractuelles types insuffisantes seules

Les CCT restent valides en principe mais ne suffisent pas si la legislation du pays destinataire (CLOUD Act, FISA 702) prive le destinataire de la capacite de refuser une demande des autorites locales. Une analyse d'impact transferable (TIA) doit etre conduite.

Mesures supplementaires

L'EDPB a publie en juin 2021 ses recommandations sur les mesures supplementaires : chiffrement de bout en bout sans acces du destinataire aux cles, pseudonymisation effective, garanties contractuelles renforcees. Ces mesures doivent etre techniquement verifiables.

Decisions de la CNIL

La CNIL a mis en demeure plusieurs gestionnaires de sites web utilisant Google Analytics en 2022, considerant que la configuration n'offrait pas les garanties exigees par Schrems II. Une demarche analogue a ete adoptee dans d'autres autorites europeennes.

Data Privacy Framework de 2023

L'accord adopte le 10 juillet 2023 remplace le Privacy Shield. Il s'appuie sur un decret presidentiel americain instaurant un Data Protection Review Court. Des recours pendants devant la CJUE pourraient le fragiliser dans les annees a venir.

Impact pour les choix cloud

Schrems II reste une reference structurante : tout choix de cloud implique une analyse de la juridiction du fournisseur et de la realite des transferts. C'est l'un des moteurs juridiques de l'interet pour les offres souveraines europeennes.

Idees recues

Trois confusions frequentes

Le Data Privacy Framework de 2023 a regle Schrems II.
Le nouveau cadre repose sur une base juridique americaine (Executive Order) plus solide que le Privacy Shield, mais il fait l'objet de recours pendants devant la CJUE. Les juristes specialises recommandent de continuer a documenter les transferts comme avant.
Si j'utilise une region UE chez un hyperscaler americain, je suis hors champ Schrems II.
L'arret porte sur la juridiction du destinataire des donnees, pas sur leur emplacement physique. Un sous-traitant soumis au CLOUD Act ou a la FISA 702 reste expose, meme si les serveurs sont en Europe.
Les clauses contractuelles types nouvelles versions de 2021 suffisent.
Les CCT 2021 incluent une obligation d'analyse d'impact (TIA). Cette analyse doit demontrer que la loi du pays destinataire n'empeche pas le respect des clauses, ce qui reste discutable pour les Etats-Unis.

Sources et references

Pour aller plus loin

Arret CJUE du 16 juillet 2020, affaire C-311/18 (curia.europa.eu)
Reglement general sur la protection des donnees, version consolidee (eur-lex.europa.eu)
European Data Protection Board, recommandations 01/2020 sur les mesures supplementaires (edpb.europa.eu)
CNIL, decisions relatives a Google Analytics et aux transferts hors UE (cnil.fr)
Commission europeenne, decision d'adequation Data Privacy Framework du 10 juillet 2023 (commission.europa.eu)

Sur NextHop

Tirer les consequences de Schrems II

CLOUD Act, la cle de voute du raisonnementC'est l'extraterritorialite americaine qui rend l'analyse Schrems II si exigeante. Comprendre l'un eclaire l'autre.FISA Section 702La section 702 du FISA est l'un des dispositifs explicitement cites par la CJUE comme incompatibles avec le niveau de protection equivalent.Observatoire de la souveraineteComparez les fournisseurs sur leur exposition aux lois extraterritoriales et leur capacite a garantir un transfert conforme au RGPD.
Voir l'observatoireDemander un audit