Privacy Shield : vers la suspension de l’envoi de données aux États-Unis ?

Le flux transatlantique de données personnelles représente un enjeu économique important pour les entreprises américaines, leur offrant l’accès aux précieuses données personnelles de près de 500 millions de personnes. Ces traitements de ces données hors de l’Union européenne doivent normalement observer un niveau de protection équivalent à celui mis en place par le Règlement général sur la protection des données personnelles (RGPD).

 

Cependant, les récents scandales touchant Facebook et Cambridge Analytica[1], de même que l’adoption du « CLOUD Act »[2], donnent du relief aux contestations portées par les défenseurs de la protection des données personnelles, dénonçant les insuffisances du cadre posé entre les États-Unis et l’UE.

 

Ces contestations se sont désormais cristallisées au sein du Parlement européen qui, dans une résolution adoptée le 5 juillet 2018, a invité la Commission européenne à suspendre le bouclier de protection des données UE – États-Unis.

 

Ce bouclier de protection des données, ou Privacy Shield[3], est un cadre légal négocié entre l’Union et les États-Unis visant à fournir aux entreprises des mécanismes de mise en conformité avec les mesures européennes de protection des données personnelles. Ces mécanismes de conformité permettent aux entreprises américaines de transférer légalement des données en provenance de l’Union européenne.

Ces accords prévoient de plus de restrictions d’accès à ces données pour l’administration américaine.

 

Bien que la résolution ne soit pas contraignante, et ne permette pas, à elle seule, la suspension du Privacy Shield, son adoption souligne néanmoins un ensemble important de lacunes. Ce constat avait déjà eu l’occasion d’être fait préalablement à la décision de la commission.

Cependant, ces nouvelles contestations, faites à la lumière des récents évènements impliquant d’importantes sociétés américaines invitent à s’interroger sur les possibilités que pourrait ouvrir la suspension de cet accord, notamment au regard de la récente adoption de la réglementation européenne sur la protection des données personnelles.

 

Un cadre juridique antérieur insuffisant

 

L’adoption du Privacy Shield s’inscrit dans la continuité du Safe Harbor, qui se présentait comme un ensemble de principes de protection des données personnelles publiées par le Département du Commerce américain que la Commission européenne. Cette décision, rendue en 2000[4], avait estimé le niveau de protection comme adéquat, estimant que les États-Unis assuraient un niveau « suffisant » vis-à-vis de la directive de 1995 sur la protection des données personnelles.

 

Ce régime permettait dès lors aux entreprises établies aux États-Unis d’y adhérer volontairement afin de pouvoir recevoir des données à caractère personnel en provenance de l’Union européenne.

 

C’est alors que survient Maximilian Schrems, étudiant autrichien, qui, à l’issue de sa plainte à l’encontre du transfert de ses données personnelles sur des serveurs situés sur le territoire des États-Unis par la filiale irlandaise de Facebook, obtient de la Cour de justice de l’Union européenne l’annulation de la décision de Commission, révoquant ainsi le Safe Harbor[5].

 

La Cour de justice de l’Union européenne constate dans sa décision plusieurs dysfonctionnements dans l’ensemble de principes publié par l’administration américaine. Elle constate notamment que le programme de collecte de renseignements à grande échelle PRISM, dévoilé par E. Snowden, permettait aux autorités américaines de procéder à un traitement de masse des données stockées sur leur territoire.

 

Cette décision, on ne peut plus engageante pour la protection des données à caractère personnel, a donc laissé place à une nécessaire renégociation de l’accord UE – USA, dont les résultats n’ont pas été à la mesure des attentes des défenseurs de la protection des données.

 

Privacy Shield : le successeur perfectible

 

C’est dans ce contexte de substitution au Safe Harbor qu’intervient le Privacy Shield. Ce nouvel accord marque des améliorations notables par rapport à son prédécesseur. C’est le cas notamment de l’implication croissante des agences fédérales dans le processus d’application des obligations, ou encore du mécanisme de médiation destiné à que les demandes adressées par des citoyens européens aux autorités américaines[6] soient traitées.

 

Malgré ces quelques progrès, le Groupe de travail de l’article 29 (WP29), rassemblant les « CNILs européennes », a pu formuler d’importantes inquiétudes face aux lacunes que présente ce Privacy Shield[7].

 

Le WP29 déplore ainsi des insuffisances tant sur les aspects commerciaux que sur l’accès des autorités américaines aux données transférées depuis l’Union. Le groupe de travail remarque alors des garanties lacunaires sur l’indépendance et les pouvoirs du médiateur, ou encore le manque d’assurances concrètes sur l’absence de collecte de masse[8].

 

En dépit de l’avis du WP29, la Commission européenne a finalement adopté le 12 juillet 2016 une décision d’adéquation visant à reconnaitre au mécanisme du Privacy Shield un niveau de protection « essentiellement équivalent » aux exigences de l’Union européenne. Ceci marque une avancée en deçà des attentes nées de la décision d’annulation de la Cour de justice.

 

 

Le maintien de la pression contre le Privacy Shield par les défenseurs de la protection des données

 

À la suite de l’adoption de la décision d’adéquation par la Commission, plusieurs associations européennes, décidées à battre en brèche le bouclier de protection des données UE – États-Unis, ont introduit des recours devant le Tribunal, juge de droit commun du droit de l’Union européenne.

 

Si certaines associations, comme Digital Rights Ireland, ont vu leur recours frappé d’irrecevabilité[9], d’autres, comme la Quadrature du Net, sont toujours en attente de décision[10].

Ces recours en annulation de la décision de la Commission laissent planer l’incertitude quant à une éventuelle décision de la Cour de justice en ce sens.

 

Cette incertitude est désormais accentuée par l’adoption de la résolution du Parlement européen demandant la suspension du Privacy Shield.

Proposée par le la Commission des libertés civiles, de la justice et des affaires intérieures (autrement appelée LIBE), cette résolution se place dans la stricte continuité des avis du WP29, dont le Parlement reprend les principales inquiétudes[11].

 

Le contexte de son adoption n’est pas neutre. Celle-ci fait en effet suite aux révélations concernant la collecte et le traitement illégal de données d’utilisateurs de Facebook par Cambridge Analytica ; toutes deux pourtant « certifiées » dans le cadre du Privacy Shield.

 

De plus elle fait suite à la promulgation du « Clarifying Overseas Use of Data (‘CLOUD’) Act », permettant aux autorités répressives américaines d’accéder à des données n’étant pas stockées sur leur propre territoire ; sans passer par l’entraide judiciaire.

 

Bien qu’une suspension effective du Privacy Shield semble peu probable au vu de l’importance économique du flux de données transatlantique, il peut être intéressant, au vu des précédents en la matière ainsi que des récents évènements, d’explorer le champ des possibles en matière de partage de données en l’absence de décision d’adéquation par la Commission.

 

Cette à la suite de la constatation de nombreux manquements des autorités américaines à leurs obligations[12].

 

Le possible maintien du transfert de données vers les pays tiers

 

Le Chapitre V du Règlement général sur la protection des données (RGPD), consacré au transfert des données à caractère personnel vers des pays tiers ou à des organisations internationales, prévoit aux articles 46 et suivants les conditions d’un tel transfert en l’absence de décision d’adéquation de la Commission.

 

L’article 46 prévoit ainsi qu’un responsable de traitement ou un sous-traitant peut transférer des données à caractère personnel vers un pays tiers s’il a prévu des garanties qu’un niveau de protection équivalent à celui garanti par le RGPD soit assuré.

Ces garanties peuvent prendre plusieurs formes, listées de manière exhaustive, au titre desquelles figurent les règles d’entreprise contraignantes (ou Binding Corporate Rules, abrégé BCR).

 

Ces BCR, définies à l’article 47 constituent des règles juridiquement contraignantes pour les entreprises concernées. Elles devront assurer aux personnes concernées des mesures de protections permettant traitement l’exercice effectif de l’ensemble de leurs droits.

 

Le RPGD prévoit de plus des dérogations à l’interdiction de transfert vers les pays tiers pour certaines situations particulières (article 49), notamment dans les cas où :

  • Les personnes concernées ont explicitement donné leur consentement,
  • Que le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement
  • Ou encore si le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale.

On constate donc aisément que ces cas de figure sont très larges, et n’empêcheraient en rien le transfert de données si le Privacy Shield venait à être supprimé.

Ainsi, s’il est regrettable que le Privacy Shield présente à l’heure actuelle de profondes lacunes, il serait d’autant plus regrettable qu’il ne laisse place à aucun cadre au transfert de données transatlantique, pouvant conduire à un abaissement des garanties de protection des données pour les personnes se trouvant sur le territoire européen.

 

En attendant de voir les conséquences de cette résolution et des recours devant la Cour de justice, il est intéressant de constater l’adoption de législations relatives à la protection des données par les États fédérés, comme la Californie[13] – berceau des géants américains de l’Internet.

 

Se pourrait-il que les législations des États fédérés deviennent les garanties des futurs transferts outre-Atlantique, qui bien qu’offrant des garanties bien moindres à celles d’un accord avec l’État fédéral, pourraient toutefois proposer des perspectives intéressantes sur le plan des relations commerciales ?

[1] https://www.cnil.fr/fr/affaire-cambridge-analytica-facebook

[2] https://www.nextinpact.com/news/106367-cloud-act-lacces-aux-donnees-extraterritoriales-clarifie-auxetats-unis-mais-critique.htm

[3] https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/eu-us-privacy-shield_en

[4] Décision du 26 juillet 2000 (2000/520/CE)

[5] http://curia.europa.eu/juris/document/document.jsf?docid=169195&doclang=FR

[6] https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/eu-us-privacy-shield_en

[7] https://www.cnil.fr/en/press-release-wp29-article-29-working-party-statement-decision-european-commission-eu-us-privacy

[8] http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf

[9] http://curia.europa.eu/juris/document/document.jsf?docid=197141&doclang=FR

[10] https://bit.ly/2NB7nLy

[11] http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P8-TA-2018-0315+0+DOC+XML+V0//FR

[12] http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P8-TA-2018-0315+0+DOC+XML+V0//FR

[13] https://www.wired.com/2015/10/california-now-nations-best-digital-privacy-law/

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *