Max Schrems, usager autrichien de Facebook et militant de la cause de la protection de la vie privée, aura décidemment beaucoup contribué à l’édification du droit des données personnelles en Europe, particulièrement sur la question – sensible – du transfert des données hors UE.
On sait que M. Schrems est à l’origine de la plainte contre Facebook qui a conduit à l’annulation de l’accord dit du « Safe Harbor », qui encadrait les échanges de data entre l’UE et les Etats-Unis, pays d’origine des GAFA (CJUE, 6 octobre 2015). Il continue son combat et, chemin faisant, constate qu’on lui oppose, pour légitimer des transferts de données depuis l’Irlande, lieu de l’éditeur européen de Facebook, vers des sous-traitants établis aux Etats-Unis, des Clauses Contractuelles Types (CCT).
Ces CCT ont été édictées par une Décision de la Commission européenne du 5 février 2010, en application de la Directive 95/46 sur les traitements de données. Elles ont été mises à jour par une décision du 16 décembre 2016 à la suite du RGPD. Elles se présentent sous la forme d’un contrat-type destiné à régir les relations entre un responsable de traitement établi dans l’UE et des sous-traitants établis hors UE, afin d’apporter un niveau de sécurité satisfaisant au regard de la règlementation européenne, qui préconise un niveau de protection élevé de la vie privée.
Devant la juridiction principale, M. Schrems a formulé deux séries de critiques : premièrement Facebook ne respecterait pas la Décision de la Commission instituant les CCT (i.e. les accords conclus par Facebook ne seraient pas conformes aux CCT), deuxièmement la Décision instituant les CCT ne serait pas conforme au droit de l’Union, particulièrement au RGPD et à la Charte des droits fondamentaux de l’Union européenne.
C’est sur cette deuxième question que la CJUE a été saisie d’une question préjudicielle par la juridiction principale, et l’Avocat général vient de donner son avis : selon lui les CCT ne sont pas contraires au droit de l’Union. Notamment, le fait que ces CCT ne lient pas les Etats destinataires des données hors UE (en l’espèce les Etats-Unis) mais seulement les entreprises qui y sont établies, n’est pas de nature à les rendre illicites.
S’il était confirmé par la Cour, cet avis serait de nature à sécuriser les accords de transferts de données hors UE qui s’appuient sur les CCT, comme c’est aujourd’hui très souvent le cas. Rappelons que les CCT sont, avec les Binding Corporate Rules (BCR) pour les échanges hors UE intra groupe, l’un des deux véhicules juridiques à disposition pour de tels transferts.
