Arret Schrems II : le jugement qui a dynamite les transferts de donnees hors UE
Maximilian Schrems est un avocat autrichien qui a passe la derniere decennie a combattre Facebook devant les tribunaux europeens. Pas pour la gloire ni pour l’argent – pour une question de principe qui tient en une phrase : est-ce que mes donnees personnelles sont protegees quand elles traversent l’Atlantique ? La Cour de Justice de l’Union europeenne a repondu « non » en 2020, et cette reponse a fait exploser l’ensemble du cadre juridique qui permettait aux entreprises europeennes de transferer des donnees vers les Etats-Unis. Si vous arrivez depuis le guide sur la souverainete et le RGPD dans le cloud europeen, vous savez que ce sujet est tout sauf theorique. L’arret Schrems II est la raison pour laquelle la moitie des entreprises europeennes sont techniquement en infraction avec le RGPD en 2026.
Pour comprendre la portee de la decision, il faut savoir ce qui existait avant. Le Safe Harbor (2000-2015) puis le Privacy Shield (2016-2020) etaient des accords entre l’UE et les Etats-Unis qui declaraient – sur la foi d’autocertifications americaines – que le niveau de protection des donnees aux Etats-Unis etait « adequat ». La CJUE a invalide les deux. Pas par caprice : parce que les programmes de surveillance de masse americains (notamment PRISM et Upstream, reveles par Edward Snowden en 2013) rendaient ces declarations d’adequation objectivement fausses.
Ce que Schrems II a change concretement
L’arret C-311/18 du 16 juillet 2020 a trois consequences majeures. Premierement, le Privacy Shield est annule avec effet immediat – pas de periode de transition, pas de delai de grace. Deuxiemement, les clauses contractuelles types (SCC) restent valides en theorie, mais le responsable de traitement doit verifier au cas par cas que le pays de destination offre une protection adequate. Troisiemement – et c’est le point qui tue – la Cour a constate que le droit americain (en particulier la Section 702 du FISA et l’Executive Order 12333) ne permettait pas cette protection adequate.
En d’autres termes : les SCC ne suffisent pas pour transferer des donnees vers les Etats-Unis. Il faut des « mesures supplementaires » – un concept que la Cour n’a pas defini et que le Comite europeen de la protection des donnees a tente de clarifier dans ses recommandations 01/2020. Ces mesures supplementaires incluent le chiffrement de bout en bout (ou le fournisseur americain n’a pas acces aux cles), la pseudonymisation, ou le split processing. En pratique, la plupart des entreprises qui utilisent Google Workspace ou Microsoft 365 n’implementent aucune de ces mesures.
Ce que le RGPD dit vraiment sur les clauses contractuelles
Le RGPD prevoit plusieurs mecanismes pour les transferts hors UE : decision d’adequation (article 45), garanties appropriees comme les SCC (article 46), et derogations pour des situations specifiques (article 49). Apres Schrems II, la decision d’adequation pour les Etats-Unis n’existe plus (le Data Privacy Framework de 2023, on y revient), les SCC necessitent une evaluation d’impact que presque personne ne fait correctement, et les derogations de l’article 49 sont trop etroites pour couvrir un usage cloud quotidien.
Le Data Privacy Framework (DPF), adopte par la Commission europeenne en juillet 2023, est cense etre la solution. Il repose sur l’Executive Order 14086 signe par Joe Biden en octobre 2022, qui cree un mecanisme de recours pour les citoyens europeens et impose des limites de proportionnalite a la surveillance americaine. Le probleme est triple : un executive order n’est pas une loi (il peut etre revoque par le president suivant), le mecanisme de recours passe par une « Data Protection Review Court » qui n’est pas un vrai tribunal, et NOYB (l’association de Max Schrems) a deja annonce qu’elle contesterait le DPF devant la CJUE. Schrems III est une question de temps, pas de probabilite.
Les risques concrets du Cloud Act apres l’invalidation du Privacy Shield
Le Cloud Act rend la situation encore plus complexe. Meme avec le DPF en vigueur, meme avec des SCC signees, meme avec des mesures supplementaires documentees – une injonction Cloud Act oblige un fournisseur americain a produire des donnees sans passer par les canaux d’entraide judiciaire internationaux. Le DPF ne resout pas ce conflit. Il ne le mentionne meme pas.
Les autorites europeennes de protection des donnees ne sont pas restees inactives. L’APD autrichienne a juge que Google Analytics violait le RGPD en janvier 2022. La CNIL a emboite le pas un mois plus tard. L’autorite italienne a sanctionne Google en juin 2022. Ces decisions ne concernaient « que » Google Analytics, mais le raisonnement juridique s’applique a tout service americain qui collecte des donnees personnelles europeennes.
La seule certitude juridique en 2026, c’est d’utiliser un fournisseur cloud dont le siege social et l’infrastructure se trouvent dans une juridiction qui respecte le RGPD sans etre soumise au droit americain. Ca veut dire l’UE ou la Suisse (dont la nLPD est reconnue comme offrant un niveau de protection adequat par la Commission europeenne). Le reste, c’est un pari sur la survie du Data Privacy Framework face a la prochaine saisine de la CJUE.