L'essentiel
Définition
Qu'est-ce que Schrems II ?
Schrems II est le nom usuel donné à l'arrêt rendu par la Cour de justice de l'Union européenne le 16 juillet 2020, dans l'affaire C-311/18 opposant Maximilian Schrems et la Data Protection Commissioner irlandaise. Maximilian Schrems est un militant autrichien déjà à l'origine de l'arrêt Schrems I, qui avait invalidé en 2015 l'accord Safe Harbor entre l'UE et les États-Unis.
L'affaire portait sur les transferts de données personnelles de la filiale irlandaise de Facebook vers sa maison mère américaine. La Cour devait se prononcer sur deux outils de transfert : la décision d'adéquation Privacy Shield et les clauses contractuelles types (CCT) figurant dans la décision 2010/87 de la Commission.
La Cour invalide le Privacy Shield et juge que la législation américaine, en particulier la section 702 du FISA et l'Executive Order 12333, ne garantit pas un niveau de protection essentiellement équivalent à celui assuré par le droit de l'Union. Elle confirme la validité des CCT comme outil, mais impose une évaluation cas par cas du contexte juridique du pays destinataire.
Contexte historique
De Snowden au Data Privacy Framework
Impact concret
Ce que l'arrêt a changé pour les organisations européennes
Six conséquences observées dans les pratiques de gouvernance des données depuis 2020.
Privacy Shield invalidé
L'arrêt prive les transferts UE-USA de leur base juridique principale entre juillet 2020 et juillet 2023. Pendant cette période, les organisations doivent justifier les transferts par d'autres outils (CCT plus mesures supplémentaires, règles d'entreprise contraignantes, dérogations).
Clauses contractuelles types insuffisantes seules
Les CCT restent valides en principe mais ne suffisent pas si la législation du pays destinataire (CLOUD Act, FISA 702) prive le destinataire de la capacité de refuser une demande des autorités locales. Une analyse d'impact transférable (TIA) doit être conduite.
Mesures supplémentaires
L'EDPB a publié en juin 2021 ses recommandations sur les mesures supplémentaires : chiffrement de bout en bout sans accès du destinataire aux clés, pseudonymisation effective, garanties contractuelles renforcées. Ces mesures doivent être techniquement vérifiables.
Décisions de la CNIL
La CNIL a mis en demeure plusieurs gestionnaires de sites web utilisant Google Analytics en 2022, considérant que la configuration n'offrait pas les garanties exigées par Schrems II. Une démarche analogue a été adoptée dans d'autres autorités européennes.
Data Privacy Framework de 2023
L'accord adopté le 10 juillet 2023 remplace le Privacy Shield. Il s'appuie sur un décret présidentiel américain instaurant un Data Protection Review Court. Des recours pendants devant la CJUE pourraient le fragiliser dans les années à venir.
Impact pour les choix cloud
Schrems II reste une référence structurante : tout choix de cloud implique une analyse de la juridiction du fournisseur et de la réalité des transferts. C'est l'un des moteurs juridiques de l'intérêt pour les offres souveraines européennes.
Idées reçues
Trois confusions fréquentes
Sources et références
Pour aller plus loin
Sur NextHop