Vendredi 12 mai 2023, près de cinq années après l’entrée en vigueur du règlement général sur la protection des données (RGPD), la société Meta (Meta Platforms Ireland Limited) a été condamnée à une amende record de 1,2 milliard d’euros par la Data Protection Commission, l’autorité de contrôle irlandaise des données personnelles, équivalent français de la Commission nationale de l’informatique et des libertés (CNIL).

Épilogue d’une saga judiciaire fleuve, la décision – prise selon les modalités prévues par les articles 60 et 65 du RGPD – tire les conclusions d’une enquête débutée en 2015, peu de temps après que la Cour de justice de l’Union européenne a invalidé les principes de l’accord UE-USA dit Safe Arbor, un mécanisme de certification pour les sociétés établies aux États-Unis d’Amérique, initialement reconnu comme offrant un niveau de protection adéquat aux données personnelles transférées outre-Atlantique. Décryptage.

Data Protection Commission, Decision of the Data Protection Commission made pursuant to Section 111 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation, 12 mai 2023 : https://lext.so/qW4xF

La bataille juridique débutée entre l’ancien étudiant autrichien, devenu avocat et activiste, Max Schrems, la société Facebook Ireland Ltd (devenu par la suite Meta) d’un côté, et la Data Protection Commission(DPC), de l’autre, ne date pas d’aujourd’hui.

En 2015, déjà, la Cour de justice de l’Union européenne (CJUE) avait été saisie par la High Courtirlandaise d’une demande de décision préjudicielle dans le cadre du litige opposant Max Schrems à l’autorité irlandaise de protection des données, au sujet du refus de cette dernière d’enquêter sur une plainte introduite par l’étudiant en raison du fait que Facebook Ireland Ltd transfère aux ÉtatsUnis les données à caractère personnel de ses utilisateurs et les conserve sur des serveurs situés dans ce pays.

Le 6 octobre 20151, alors que le règlement général sur la protection des données (RGPD) n’était alors que dans les tuyaux, la CJUE, statuant sur la demande de décision préjudicielle, avait alors invalidé les principes de l’accord UE-USA dit Safe Harbor, qui permettait le transfert de données à caractère personnel en dehors de l’Union européenne, vers les États-Unis.

Par la suite, la Commission européenne et le gouvernement américain étaient malgré tout parvenus à conclure un accord similaire tenant compte, a priori, des conclusions du juge européen, et dénommé Privacy Shield.

Puis, en 2018, la High Courtirlandaise, elle-même saisie par la DPC dont l’enquête avait pu démarrer à partir de 2015, soumettait à la CJUE pas moins de 11 nouvelles questions préjudicielles à l’origine de l’arrêt dit Schrems IIdu 16 juillet 2020.

À cette occasion, la Cour européenne2 invalidait ainsi la décision de la Commission européenne reconnaissant l’adéquation du bouclier de protection des données UE-USA dans le cadre du Privacy Shield, considérant que ce dernier ne garantissait pas une protection adéquate des droits fondamentaux des citoyens européens en raison des ingérences massives des autorités américaines dans leurs données personnelles. Pour désigner le droit américain, elle avait alors notamment indiqué : « (…) le droit de ce pays tiers ne prévoit pas les limitations et les garanties nécessaires à l’égard des ingérences autorisées par sa réglementation nationale et n’assure pas non plus une protection juridictionnelle effective contre de telles ingérences »3.

Raisonnant en l’absence de décision d’adéquation de la Commission pour ce transfert, la Cour s’en était alors remise à l’article 46, § 1, du RGPD (« Transferts moyennant des garanties appropriées »), prévoyant que les entités ne puissent plus transférer des données à caractère personnel vers un pays tiers, qu’à condition de présenter des « garanties appropriées », ainsi que la possibilité pour les personnes concernées de disposer de droits opposables et de voies de droit effectives.

Parmi les « garanties appropriées » pouvant être déployées en remplacement, le même article énonce l’option, pour les entités concernées, d’inclure des « clauses types de protection » contractuelles4 (CCT) adoptées par la Commission européenne. Lorsqu’elles sont intégrées, ces clauses pourraient ainsi fournir un niveau de garantie adéquat pour la protection des données personnelles transférées vers un pays tiers.

Pour autant, avec Schrems II, le juge européen ne souhaitait pas en rester là.

Choisissant l’interprétation téléologique, la Cour s’était ainsi offert une forme de « double contrôle », exigeant que l’article 46 du RGPD soit lu à la lumière du règlement dans son ensemble, de son article 44 en particulier (« Principe général applicable aux transferts »), et de la charte des droits fondamentaux de l’Union européenne pour « assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers (…) bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’UE par ce règlement (…) »5.

En somme, et depuis cet arrêt, le juge européen et, partant, les autorités de contrôle nationales peuvent – et doivent – considérer que la seule intégration de clauses types de protection contractuelles pour le transfert de données vers les pays tiers ne suffit pas à garantir un niveau de protection adéquat, et avec lui, donc, la licéité du transfert au regard du RGPD.

L’espèce

En réalité, la présente décision est donc, dans un premier temps, le résultat des investigations menées dans le cadre de l’enquête ouverte par la DPC à partir de 2015, peu de temps après l’arrêt Schrems Ide la CJUE, ladite enquête n’ayant d’ailleurs pu réellement démarrer qu’à compter de 2020, une fois l’imbroglio judiciaire entre les parties définitivement tranché.

Chose étonnante – car peu familière à notre système – par ailleurs, le litige né entre la DPC et M. Schrems donna lieu, entre les parties, à une transaction conclue en 20206, à l’occasion de laquelle elles ont convenues que l’enquête issue de la plainte de M. Schrems serait conduite et menée uniquement par référence aux dispositions applicables au RGPD, sur une période réduite et révisée pour démarrer à la date d’entrée en vigueur du règlement dans l’UE, le 25 mai 2018.

Pendant la durée de l’enquête, un avant-projet de décision et par la suite un avant-projet de décision révisé ont été transmis aux parties, M. Schrems et Meta Ireland, dans le but de leur permettre de présenter leurs observations. En outre, l’ampleur du traitement transfrontalier examiné a été telle que, conformément aux dispositions de l’article 60 du RGPD, l’ensemble des autorités de contrôle européennes concernées7 ont également été impliquées dans le processus de décision pour leur permettre d’exprimer leur point de vue : des objections ont notamment été soulevées, à cet égard, par les autorités françaises (la CNIL), autrichiennes, allemandes et espagnoles8.

Devant autant de positions divergentes, et faute de consensus possible entre les autorités de contrôle concernées, la DPC s’en remit pour décision au comité européen de la protection des données (CEPD), organe indépendant de l’Union européenne institué par le RGPD. Conformément au mécanisme de règlement des différends institué à son article 65, et sur cette même base, les décisions du comité européen sont contraignantes à l’égard de l’ensemble des autorités de contrôle concernées, et de l’autorité cheffe de file qui devra « adopte[r] sa décision finale sur la base de la décision [du comité] (…) et au plus tard, un mois après que le comité a notifié sa décision »9.

Le comité rendit sa décision le 13 avril 202310 ; celle prise par la Data Protection Commissiondans le délai indiqué, le 12 mai dernier, en reflète11 ainsi les conclusions.

Dans un second temps, parallèle, et sur le fond du droit, la décision de la DPC est le résultat pendant de l’arrêt Schrems IIde la Cour de justice de l’Union européenne du 16 juillet 2020, épilogue de longues et complexes procédures nationales débutées devant la High Courten 2016.

De manière analogue aux questions posées, à l’époque, à la Cour européenne, la DPC a dû déterminer si Meta Ireland agit de manière conforme au RGPD, et à son article 46, § 1, en particulier, en effectuant des transferts de données personnelles relatives à des personnes se trouvant dans l’UE et qui visitent, accèdent, utilisent ou interagissent avec les produits et services fournis par Meta Ireland, vers Meta aux États-Unis, et sur la base des clauses contractuelles types mises en place.

En s’appropriant le raisonnement des juges européens dont elle cite les conclusions à de multiples reprises12, la DPC décide que les transferts de données ainsi opérés sont effectués dans des circonstances qui ne permettent pas de garantir aux personnes concernées un niveau de protection essentiellement équivalent à celui apporté par le RGPD, tel qu’il doit être lu à la lumière des droits fondamentaux de l’UE. En substance, et par ailleurs, elle conclut que :

• aucune des clauses contractuelles types de protection des données adoptées par la Commission ne peut compenser la protection inadéquate offerte par le droit américain ;

• Meta Ireland n’a mis en place aucune mesure supplémentaire qui puisse compenser la protection inadéquate offerte par le droit américain ;

• Meta Ireland ne peut se prévaloir d’aucune des dérogations prévues à l’article 49, § 1, du RGPD pour les transferts de données. L’article 49 (« Dérogations pour des situations particulières ») offre une dernière possibilité de transférer des données vers un pays tiers en l’absence de décision d’adéquation de la Commission, et plus largement de « garanties appropriées », et dans des cas strictement énoncés tels que le consentement exprès et explicite de la personne concernée par le transfert envisagé ;

• pour l’ensemble de ces raisons, Meta Ireland, en effectuant les transferts de données vers les États-Unis, viole l’article 46, § 1, du RGPD.

Pour l’ensemble de ces raisons, et conformément aux pouvoirs qui lui sont accordés à travers l’article 58, § 2, du RGPD, la DPC décide d’adopter un certain nombre de mesures correctrices :

• Meta Ireland doit suspendre ses transferts de données vers les États-Unis, conformément au calendrier détaillé qui fixe une « date de commencement »13 et prévoit qu’en tout état de cause, Meta Ireland devra s’exécuter dans un délai maximum de 12 semaines à compter de la « date de commencement » ;

• Meta Ireland doit mettre ses opérations de traitement des données en conformité avec le chapitre V du RGPD14, en cessant le traitement illégal, y compris le stockage, aux États-Unis, des données personnelles des utilisateurs européens transférées en violation du RGPD, et ce, dans les six mois suivant la notification de la présente décision ;

• Meta Ireland est condamnée au paiement d’une amende administrative d’1,2 milliard d’euros, que la DPC estime effective, proportionnée et dissuasive15.

Que nous dit cette décision ?

Au lendemain de l’anniversaire de l’entrée en vigueur du RGPD, cette décision, (quasi) épilogue d’une saga judiciaire que l’on pensait sans fin, est particulièrement riche d’enseignements. Certes, l’amende infligée à Meta Ireland aurait pu être plus importante : l’article 83, § 5, du RGPD laisse la possibilité d’infliger, pour ce type de violations, une amende administrative pouvant s’élever jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent (à savoir, pour Meta, 116,6 milliards de dollars).

Certes, il y a peu de chances que la décision de la DPC soit suivie d’effets immédiats : Meta Ireland conserve la possibilité de faire appel de la décision en droit interne, ou d’agir, sur le fondement de l’article 263 du Traité sur le fonctionnement de l’Union européenne (TFUE), en annulation de la décision du 13 avril 2023 du CEPD.

En outre, certains observateurs indiquent que, dans cet intervalle16, l’adoption d’une nouvelle décision d’adéquation de la Commission concernant le cadre transatlantique de protection des données personnelles17 pourrait court-circuiter les effets de la décision de la DPC à l’égard de Meta en particulier, et de toutes les plateformes internet concernées de manière générale.

En réalité, le projet de décision d’adéquation fait suite à la signature, en octobre 2022, du décret du président américain Joe Biden visant à introduire de nouvelles garanties pour les données personnelles des résidents de l’Union européenne18. Ce nouveau cadre de confidentialité des données (Data Privacy Framework) est ainsi destiné à remplacer le Privacy Shieldinvalidé par la CJUE, et permettrait aux organisations américaines, sur le même modèle que le précédent, de s’auto-certifier.

Le 28 février dernier, conformément au RGPD qui impose à la Commission de le solliciter, le CEPD a adopté son avis sur le projet de décision19. Il y fait valoir des améliorations substantielles, telles que l’introduction d’exigences incarnant les principes de nécessité et de proportionnalité pour la collecte de données de renseignement aux États-Unis, et l’introduction d’un nouveau mécanisme de recours (Data Protection Review Court), mais exprime également des préoccupations sur plusieurs points, s’agissant notamment de certains droits des personnes concernées, l’absence de définitions clés, des transferts ultérieurs, de la portée des dérogations prévues, de la collecte temporaire massive de données, et du fonctionnement pratique du mécanisme de recours (rattaché à l’exécutif américain).

Mais quoi qu’il en soit, les exportateurs de données sont tenus, pour l’instant, de « continuer à mettre en œuvre les actions requises pour être en conformité avec la jurisprudence de la CJUE, et en particulier son arrêt Schrems IIdu 16 juillet 2020 »20. Par ailleurs, compte tenu de la jurisprudence de la CJUE et de l’autorité que revêtent ses arrêts pour l’ensemble des institutions, il y a peu de chance qu’un cadre insuffisamment protecteur au regard des exigences posées par cette dernière puisse survivre à une contestation portée devant elle (dont on ne doute pas que M. Schrems pourrait se saisir).

Si Meta parvenait à retarder l’interruption des transferts de données, gageons qu’elle ne puisse pas le faire indéfiniment.

En outre, la décision de la DPC réaffirme, s’il le fallait, l’utilité – en dépit de sa complexité – du système de règlement des litiges par le CEPD institué à l’article 65 du RGPD, et dans les cas de blocages des autorités cheffes de file, incarnant à lui seul et trivialement, toute l’expression du proverbe « Mieux vaut tard que jamais ».

Enfin, et s’il fallait tirer une conclusion supplémentaire de cette décision au lendemain de l’anniversaire du règlement général sur la protection des données, il faudrait souligner toute l’importance du modèle institué par lui – et reproduit par les récents Digital Markets Actet Digital Services Act – qui, préférant le choix du pays de destinationdu traitement et/ou du lieu de résidencedes personnes concernées par le traitement, a balayé une difficulté majeure liée à l’interprétation du champ d’application de la réglementation européenne, et soumis des plateformes autrefois affranchies, au respect de nos lois.