Il ne faut pas mettre sur le même plan les arrêts Schrems I et II, Tele2 ou même Quadrature du net, qui n'ont rien à voir. Ces arrêts s'inscrivent dans l'histoire des institutions européennes.
L'arrêt Schrems I a été rendu en 2015, c'est-à-dire avant l'entrée en vigueur du RGPD. L'activiste Max Schrems a en réalité attaqué le monopole de la Commission sur la définition d'une législation congruente. L'accord Safe Harbor de 2015, premier texte de relation entre les États-Unis et l'Union européenne, portait sur la protection des données lors de leurs échanges. En principe, une fois que la Commission européenne, à l'issue d'un long processus, prend une décision d'adéquation, selon laquelle un État tiers dispose d'une législation essentiellement convergente avec la nôtre en matière de données, il devient possible d'échanger celles-ci sans contrôle. Par son arrêt Schrems I, la Cour de justice européenne a remis ce principe en cause. Si jamais l'autorité de contrôle saisie par un citoyen prouve qu'en réalité, la législation de l'État tiers ne comporte pas les mêmes garanties de protection des données que notre législation, alors il revient à la Cour de justice de trancher la question. L'arrêt Schrems I a ainsi annulé l'accord Safe Harbor. Je vous rappelle que les législateurs, dont vous faites partie, ont intégré cette disposition à la révision de 2003 de la loi Informatique et libertés.
Le chapitre 5 du RGPD interdit clairement tout transfert de données vers un État extérieur à l'Union européenne, sauf, en vertu de son article 44, quand ces données bénéficient de la même protection hors du territoire de l'Union européenne. L'article 45 porte sur les décisions d'adéquation, l'article 46, sur les conventions internationales et autres outils garantissant la conformité de la protection des données, l'article 48 sur l'interdiction de communiquer des données à des administrations de pays tiers et l'article 49, sur les cas dérogatoires. De fait, cet article 49 compte parmi ceux qui suscitent le plus de débats. Il se voulait une porte de sortie. En réalité, il ne concerne pas de flux importants de données mais uniquement des cas exceptionnels limités.
Pour qui l'arrêt Schrems II a-t-il des conséquences ? Pour n'importe quel utilisateur de FaceBook, de WhatsApp, ou encore de Zoom, comme vous et moi en ce moment, mais également pour l'ensemble des entreprises. À l'heure actuelle, il n'existe pas de solution qui permette de surmonter les difficultés soulevées par l'arrêt Schrems II. Les lignes directrices du comité européen de la protection des données (CEPD) ne répondent pas à la question fondamentale, qui porte sur la possibilité d'un recours juridictionnel pour assurer l'opposabilité des droits. La législation américaine n'est pas compatible avec la règlementation européenne. Comment des clauses contractuelles pourraient-elles aller à l'encontre de textes législatifs ? C'est impossible. Seul un nouvel accord entre les États-Unis et l'Union européenne serait en mesure de répondre à l'arrêt Schrems II.
L'arrêt Quadrature du net, relatif aux libertés publiques, met en lumière un problème de compatibilité avec un certain nombre de problématiques nationales. J'aimerais y revenir plus tard. Quoi qu'il en soit, il ne faut pas tout confondre.
L'arrêt Schrems II importe surtout par ses conséquences. Il n'existe pas aujourd'hui de société commerciale échangeant des données avec les États-Unis qui respecte le droit. La remarque s'applique à tous les secteurs, dont celui des banques. Y a-t-il lieu de le regretter ? Je ne le pense pas. Le juge de l'Union européenne a fait son travail. Il en a conclu qu'en l'état, le RGPD est inapplicable. Si les juridictions européennes ne parviennent pas à répondre aux difficultés que pose l'arrêt Schrems II, alors à quoi sert le RGPD ? En l'absence de réponse politique et juridique à l'arrêt Schrems II, je n'aurai plus qu'à mettre un terme à la formation diplômante que j'encadre pour me remettre au droit canonique.