Aller au contenu
NNextHop
Comprendre

Schrems II, l'arrêt qui a redessiné les transferts UE-USA.

Le 16 juillet 2020, la Cour de justice de l'Union européenne invalide le Privacy Shield et conditionne les transferts de données vers les États-Unis à des garanties techniques vérifiables. Décryptage d'une jurisprudence structurante pour la souveraineté numérique européenne.

L'essentiel

Schrems II désigne l'arrêt de la Cour de justice de l'Union européenne (CJUE) du 16 juillet 2020, affaire C-311/18.
L'arrêt invalide la décision d'adéquation Privacy Shield qui encadrait les transferts de données personnelles vers les États-Unis depuis 2016.
Il valide par ailleurs les clauses contractuelles types (CCT) comme outil de transfert, mais exige un contrôle au cas par cas de la législation du pays destinataire.
Les décisions consécutives (CNIL Google Analytics, EDPB) confirment qu'un transfert vers un sous-traitant soumis au CLOUD Act ou à la FISA 702 expose à un risque non couvert par les seules CCT.

Définition

Qu'est-ce que Schrems II ?

Schrems II est le nom usuel donné à l'arrêt rendu par la Cour de justice de l'Union européenne le 16 juillet 2020, dans l'affaire C-311/18 opposant Maximilian Schrems et la Data Protection Commissioner irlandaise. Maximilian Schrems est un militant autrichien déjà à l'origine de l'arrêt Schrems I, qui avait invalidé en 2015 l'accord Safe Harbor entre l'UE et les États-Unis.

L'affaire portait sur les transferts de données personnelles de la filiale irlandaise de Facebook vers sa maison mère américaine. La Cour devait se prononcer sur deux outils de transfert : la décision d'adéquation Privacy Shield et les clauses contractuelles types (CCT) figurant dans la décision 2010/87 de la Commission.

La Cour invalide le Privacy Shield et juge que la législation américaine, en particulier la section 702 du FISA et l'Executive Order 12333, ne garantit pas un niveau de protection essentiellement équivalent à celui assuré par le droit de l'Union. Elle confirme la validité des CCT comme outil, mais impose une évaluation cas par cas du contexte juridique du pays destinataire.

Contexte historique

De Snowden au Data Privacy Framework

Juin 2013Révélations Edward Snowden sur les programmes de surveillance de masse américains, notamment PRISM mené au titre de la section 702 du FISA.
Octobre 2015Premier arrêt Schrems (Schrems I, C-362/14) qui invalide l'accord Safe Harbor entre l'UE et les USA, jugé insuffisant pour protéger les données personnelles européennes.
Août 2016Entrée en vigueur du Privacy Shield, accord destiné à succéder au Safe Harbor.
Juillet 2018Adoption du CLOUD Act aux États-Unis, qui renforce les pouvoirs d'injonction extraterritoriaux des autorités américaines.
16 juillet 2020Arrêt Schrems II (C-311/18). La CJUE invalide le Privacy Shield et impose une analyse cas par cas pour les transferts via clauses contractuelles types.
Février 2022La CNIL déclare illégale l'utilisation de Google Analytics en l'état, faute de garanties suffisantes contre l'accès des autorités américaines aux données.
Juillet 2023Adoption d'une nouvelle décision d'adéquation, le Data Privacy Framework, encadrant à nouveau les transferts UE-USA. Sa solidité juridique fait déjà l'objet de recours pendants devant la CJUE.

Impact concret

Ce que l'arrêt a changé pour les organisations européennes

Six conséquences observées dans les pratiques de gouvernance des données depuis 2020.

Privacy Shield invalidé

L'arrêt prive les transferts UE-USA de leur base juridique principale entre juillet 2020 et juillet 2023. Pendant cette période, les organisations doivent justifier les transferts par d'autres outils (CCT plus mesures supplémentaires, règles d'entreprise contraignantes, dérogations).

Clauses contractuelles types insuffisantes seules

Les CCT restent valides en principe mais ne suffisent pas si la législation du pays destinataire (CLOUD Act, FISA 702) prive le destinataire de la capacité de refuser une demande des autorités locales. Une analyse d'impact transférable (TIA) doit être conduite.

Mesures supplémentaires

L'EDPB a publié en juin 2021 ses recommandations sur les mesures supplémentaires : chiffrement de bout en bout sans accès du destinataire aux clés, pseudonymisation effective, garanties contractuelles renforcées. Ces mesures doivent être techniquement vérifiables.

Décisions de la CNIL

La CNIL a mis en demeure plusieurs gestionnaires de sites web utilisant Google Analytics en 2022, considérant que la configuration n'offrait pas les garanties exigées par Schrems II. Une démarche analogue a été adoptée dans d'autres autorités européennes.

Data Privacy Framework de 2023

L'accord adopté le 10 juillet 2023 remplace le Privacy Shield. Il s'appuie sur un décret présidentiel américain instaurant un Data Protection Review Court. Des recours pendants devant la CJUE pourraient le fragiliser dans les années à venir.

Impact pour les choix cloud

Schrems II reste une référence structurante : tout choix de cloud implique une analyse de la juridiction du fournisseur et de la réalité des transferts. C'est l'un des moteurs juridiques de l'intérêt pour les offres souveraines européennes.

Idées reçues

Trois confusions fréquentes

Le Data Privacy Framework de 2023 a réglé Schrems II.
Le nouveau cadre repose sur une base juridique américaine (Executive Order) plus solide que le Privacy Shield, mais il fait l'objet de recours pendants devant la CJUE. Les juristes spécialisés recommandent de continuer à documenter les transferts comme avant.
Si j'utilise une région UE chez un hyperscaler américain, je suis hors champ Schrems II.
L'arrêt porte sur la juridiction du destinataire des données, pas sur leur emplacement physique. Un sous-traitant soumis au CLOUD Act ou à la FISA 702 reste exposé, même si les serveurs sont en Europe.
Les clauses contractuelles types nouvelles versions de 2021 suffisent.
Les CCT 2021 incluent une obligation d'analyse d'impact (TIA). Cette analyse doit démontrer que la loi du pays destinataire n'empêche pas le respect des clauses, ce qui reste discutable pour les États-Unis.

Sur NextHop

Tirer les conséquences de Schrems II