La globalisation des échanges et les bouleversements engendrés par la révolution numérique dans la sphère privée et commerciale ont entrainé une croissance sans précédent du nombre de transferts transfrontières de données à caractère personnel.
Au sein de l’Union européenne, ces transferts sont régis par la directive du 24 octobre 1995[1], dont l’objectif est d’assurer une protection satisfaisante des données et de permettre leur libre circulation à l’intérieur de l’Union. Le principe, instauré par cette directive qui entend offrir un cadre harmonisé aux différents États membres, est l’interdiction de ces transferts sauf à ce que le pays ou le destinataire assure un « niveau de protection suffisant ». Toutefois, de nombreuses exceptions et dérogations existent et permettre de ne pas limiter ces transferts de plus en plus nécessaires au fonctionnement de l’économie mondiale.
Outre l’Islande, le Liechtenstein et la Norvège qui ont transposé les dispositions de la directive, cette interdiction ne concerne pas les transferts vers les pays reconnus comme « adéquats » par la Commission européenne[2]. S’agissant des autres pays ou destinataires n’assurant pas un niveau de protection suffisant, plusieurs outils ont été développés pour permettre aux acteurs d’apporter un niveau de protection suffisant : règles internes d’entreprise (ou BCR), Clauses Contractuelles Types ainsi que des exceptions strictes au principe d’interdiction[3].
Par ailleurs, en 2000, un accord dénommé « Safe harbor » a été adopté afin de faciliter les transferts de données entre l’Union européenne et les États-Unis dans des conditions satisfaisantes en termes de sécurité. Cet accord permettait de compenser l’insuffisance de la législation fédérale américaine en imposant le respect de sept principes dont notamment l’information, la sécurité, la qualité des données, etc. Toutefois, suite aux révélations d’Edouard Snowden et à des critiques de la Commission européenne, cet accord a fait l’objet d’une invalidation par la Cour de justice de l’Union européenne dans un désormais célèbre arrêt du 6 octobre 2015 Max Schrems[4]. La CJUE a notamment reproché le manque de transparence du mécanisme d’auto-certification des entreprises aux principes généraux et l’insuffisance du contrôle. Elle a également pointé les atteintes aux articles 7[5] et 8[6] de la Charte des droits fondamentaux l’Union européenne fondées sur des motifs de sécurité nationale disproportionnés ainsi que l’absence de recours juridictionnel offert aux citoyens de l’UE (article 47 de la charte[7]).
Le 2 février 2016, soucieux d’instaurer un nouveau cadre juridique facilitant les transferts de données entre les États-Unis et l’Union européenne tout en garantissant la protection des données des citoyens européens, la commission européenne et le gouvernement des États-Unis sont parvenus à un accord sur un nouveau cadre, le « Privacy Shield » (bouclier de protection des données), pour les échanges transatlantiques de données à caractère personnel. Le 12 juillet, la Commission a adopté une décision d’adéquation[8]. En pratique, pour les entreprises européennes, cet accord permettra de transférer à nouveau des données personnelles vers les États-Unis, sans autorisation préalable de la CNIL et sans avoir besoin de recourir aux mécanismes tels que les Binding Corporate Rules ou Clauses contractuelles Types.
I. Les fondements du pricacy shield
- Des obligations strictes concernant le traitement des données
Reposant sur un système d’auto-certification, le « Privacy Shield » impose aux entreprises participantes traitant des données à caractère personnel de respecter des obligations se voulant strictes et précises.
Tout d’abord, le citoyen européen dispose d’un droit de consultation et de rectification de ses données personnelles. En cas de nouvelle utilisation des données de manière différente et non prévue au départ, les personnes visées bénéficient d’un droit d’opposition (opt out). De même, en cas d’utilisation des données personnelles pour de la publicité. S’agissant des « données sensibles », le consentement préalable sera exigé de façon libre, éclairé et non équivoque.
L’accord prévoit également un renforcement du droit d’information concernant le traitement des données personnelles. Doivent ainsi être précisées le type de données collectées, la finalité, l’existence d’un droit d’accès ou encore l’existence d’un organe indépendant de résolution des litiges…
Les principes de nécessité et de proportionnalité sont également reconnus. La collecte des données doit ainsi être limitée à ce qui est pertinent pour la finalité du traitement. La durée de stockage des données personnelles devra correspondre à la finalité du traitement pour laquelle elles ont été préalablement collectées[9].
En outre, le principe de transparence oblige les entreprises adhérentes à publier leurs engagements rendus contraignants et exécutoires par la Fédérale Trade Commission[10] ainsi que les demandes d’accès des services américains de sécurité nationale conformément à l’assouplissement des règles du Patriot Act de 2001 permis par le Freedom Act adopté en juin 2015.
En cas de présence de sous-traitants (re-transfert des données), les entreprises doivent s’assurer que les parties tierces assurent le même niveau de protection.
L’accord prévoit enfin que le ministère américain du Commerce procède régulièrement à des mises à jour et à des réexamens concernant les entreprises établies aux États-Unis et ayant adhéré au « Privacy Shield », afin de veiller au respect des engagements souscrits. A défaut, les entreprises s’exposeront à des sanctions et à une radiation de la liste des adhérents au dispositif.
- Un encadrement de l’accès des données par les pouvoirs publics
Soucieux de rassurer les européens suite aux affaires d’espionnage de la NSA, les États-Unis ont donné à l’Union européenne l’assurance que l’accès des autorités américaines aux données à des fins d’ordre public et de sécurité nationale serait soumis à des limitations, à des conditions et à des mécanismes de surveillance bien définis. Par exemple, s’agissant de la sécurité nationale six objectifs sont mentionnés tels que l’espionnage, le terrorisme, les armes de destruction massive ou encore les menaces sur la cybersécurité. De plus, les États-Unis ont exclu toute surveillance de masse systématique des données à caractère personnel transférées vers leur territoire.
En outre, à défaut du respect de ces conditions, la commission européenne se réserve le droit de prendre des mesures de rétorsion, y compris l’interruption des transferts et la dénonciation de l’accord.
- Une protection effective des droits individuels
Dans son arrêt de 2015, la CJUE avait pointé du doigt la violation par le Safe Harbor de l’article 47 de la Charte des droits fondamentaux de l’Union européenne consacrant un droit à un recours effectif. Désormais, avec cet accord, tout citoyen estimant que les données le concernant ont fait l’objet d’une utilisation abusive dans le cadre du « Privacy Shield » dispose de plusieurs mécanismes.
En cas d’échec (notamment absence de réponse) de la procédure classique de plainte auprès de l’entreprise qui devra s’engager à apporter une réponse dans les 45 jours, l’accord prévoit des mécanismes extrajudiciaires gratuits tels que la médiation.
De plus, le recours des citoyens européens est amélioré par l’intervention de l’autorité nationale de protection des données qui collaborera avec la commission fédérale du commerce pour que les plaintes déposées par les citoyens de l’UE soient examinées et réglées. Le DoC et la FTC doivent ainsi effectuer des enquêtes et analyses et prononcer d’éventuelles sanctions en cas de manquement. En dernier ressort, l’accord prévoit également le recours à un mécanisme d’arbitrage.
L’accord prévoit aussi la création d’un médiateur « Privacy Shield Ombudsperson » réputé indépendant, qui pourra faire le lien en dernier ressort entre d’éventuels plaignants européens et les services de renseignement américains qui auraient abusé de leurs pouvoirs. Toutefois, toute plainte contre des entreprises devra être traitée d’abord par la voie de l’arbitrage, avant l’éventuelle entremise des CNIL européennes.
Afin de mieux contrôler le fonctionnement du Privacy Shield, un réexamen annuel mené par la commission européenne et le ministère américain du Commerce permettra de s’assurer du respect des engagements concernant l’accès aux données.
II. Les critiques du Privacy Shield
Cependant, malgré un renforcement indéniable de la protection des citoyens européens, l’accord reste insuffisant. Le G29 (l’ensemble des « CNIL » européennes) a d’ailleurs émis un avis réservé[11] à l’instar du commissaire européen à la protection des données[12]. Ainsi, la Cnil a publié le 29 juillet la « Déclaration du G29 relative à la décision de la Commission européenne concernant le Privacy Shield » constatant que si certaines de ses mises en garde passés ont été prises en compte dans l’accord validé, de nombreux points restent en-deçà du niveau de protection européen. De plus, si le comité composé des représentants des États membres l’a approuvé, certains États se sont abstenus.
Tout d’abord, sur la forme, la multiplicité des annexes est propre à créer une confusion. La Commission n’a pas retenu le bien fondé d’un glossaire (ex : « personal data » etc.…) ce qui contribue au manque de clarté de l’ensemble.
Sur le fond, la plupart des annexes se contentent de rappeler les textes et pratiques des administrations fédérales, ainsi que les compétences et actions passées. Les critiques faites au « Safe harbor » s’agissant d’un accord reposant sur un mécanisme d’auto-certification demeurent. Les entreprises américaines continuent de s’auto certifier et gèrent elles même leur conformité.
Par ailleurs, l’effacement des données n’est pas expressément prévu après la fin du traitement et les garanties requises pour les traitements automatisés de données semblent se résumer à une simple évaluation d’impact.
De plus, les obligations de transparence imposées aux entreprises américaines demeurent moindres que celles des entreprises européennes ce qui n’est pas sans créer une distorsion de concurrence. Précisons également que n’entrant pas dans le champ de compétence de la FTC, et malgré la convergence entre technologies et services, les entreprises de télécommunications ne peuvent pas adhérer au Privacy Shield.
L’accord continu également de poser des questions d’impartialité. En effet, les entreprises ayant adhéré volontairement à cet accord sont placées sous le contrôle quasi exclusif de l’administration américaine[13].
De même, l’efficacité des mécanismes de recours n’est toujours pas assurée. La saisine du médiateur (« Ombudsperson ») n’est pas directe et le citoyen européen devra d’abord s’adresser à l’autorité compétente de son territoire (ex: CNIL), qui passera ensuite le relais à une personne du département d’État américain. Ce médiateur est nommé par le secrétaire d’État des États-Unis et pourra simplement répondre à la personne plaignante qu’il a procédé aux vérifications demandées. Cependant, aucune institution ne sera habilitée à inspecter les logiciels et les serveurs en cause. En outre, s’ils font le choix de l’arbitrage, les citoyens européens ne pourront pas réclamer de dommages et intérêts.
Enfin, point fondamental, cet accord, malgré les apparences, est caractérisé par le très faible engagement des États-Unis et l’absence de réforme de leur législation. Ces derniers se sont seulement contentés de donner l’assurance (via de simples lettres de responsables d’une administration présidentielle arrivant en fin de mandat[14] !!!) qu’ils ne procéderont pas à un espionnage massif des données et aucune modification substantielle de la loi aux États-Unis n’est requise par le « Privacy shield ». Autant dire qu’il en faudra plus pour offrir de véritable garantie de protection aux citoyens européens. De plus, le bouclier de protection ne s’appliquera pas aux situations intéressant la « sécurité nationale » et « l’ordre public ». Ces notions floues permettent aux autorités américaines de garder une large marge de manœuvre. La collecte massive de données restera autorisée dans les cas où la collecte ciblée et individualisée s’avérera techniquement infaisable.
Enfin, comme l’a déploré le G29[15], aucune clause de révision n’est inscrite au sein du « Privacy shield » afin que celui-ci ne puisse prendre en compte le niveau plus élevé de protection qui sera garanti par le nouveau règlement européen sur les données personnelles quand celui-ci entrera en application en 2018[16].
Entrée en vigueur du « Privacy Shield »:
- La décision constatant le niveau de protection adéquat du « Privacy shield » a été notifiée aux États membres de l’UE le 12 juillet 2016 avec une entréeen vigueur immédiate.
- Les entreprises américaines pourront obtenir une certification auprès du ministère du Commerce à partir du 1er août 2016.
Pauline Berdah & Alexandre Mandil
[1] http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex:31995L0046
[2] La carte de la CNIL : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
[3] https://www.cnil.fr/fr/les-exceptions-au-principe-dinterdiction-de-transferts
[4] C-362/14 Maximillian Schrems / Data Protection Commissioner http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fr.pdf
[5] Respect de la vie privée et familiale http://www.europarl.europa.eu/charter/pdf/text_fr.pdf
[6] Protection des données à caractère personnel http://www.europarl.europa.eu/charter/pdf/text_fr.pdf
[7] Droit à un recours effectif et à accéder à un tribunal impartial http://www.europarl.europa.eu/charter/pdf/text_fr.pdf
[8] http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf
[9] Sauf exceptions en matière de journalisme, de recherche scientifique et historique, etc.
[10] Sect 5 FTC Act
[11] https://www.cnil.fr/fr/communique-g29-publication-de-lavis-du-g29-sur-laccord-privacy-shield
[12] https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-05-30_Privacy_Shield_FR.pdf
[13] Département du commerce américain et Federal Trade Commission
[14] http://ec.europa.eu/justice/data-protection/files/factsheets/annexes_eu-us_privacy_shield_en.pdf
[15] https://www.cnil.fr/fr/communique-g29-publication-de-lavis-du-g29-sur-laccord-privacy-shield
[16] http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679