Le point sur le transfert de données personnelles vers les Etats-Unis [juin 2017]

Le point sur le transfert de données personnelles vers les Etats-Unis [juin 2017]

Tout responsable de traitement doit veiller à la protection des données personnelles dont il a la responsabilité. Parmi les règles à connaître, le transfert de données hors des pays de l’UE est soumis à un régime strict. Il convient en particulier au responsable de traitement de veiller à ce que le pays dans lequel les données sont transférées assure un niveau de protection des données suffisant[1].

A cette fin, la Commission européenne après analyse de la protection des données par un Etat, peut décider d’adopter une décision indiquant que cet Etat peut devenir destinataire de données personnelles provenant d’entreprises établies dans l’un des Etats membres, comme si le flux s’effectuait au sein de l’UE (décisions d’adéquation constatant le « caractère adéquat du niveau de protection »). Il y a sept pays considérés comme ayant une protection adéquate en 2017, à savoir la Suisse, le Canada, Israël, l’Argentine, la Nouvelle-Zélande et l’Uruguay et les Etats-Unis.

Pour le transfert vers les Etats-Unis, une décision d’adéquation avait été adoptée par la Commission le 26 juillet 2000, dénommée « Safe Harbor ». Mais son invalidation par la Cour de Justice de l’Union Européenne le 6 octobre 2015[2] a créé une insécurité juridique considérable, compte tenu de l’importance des flux de données entre l’UE et les Etats-Unis où sont installés les « géants de l’Internet ». C’est la raison pour laquelle il fallait rapidement mettre en place un nouveau cadre légal autorisant le transfert de données entre ces deux territoires tout en assurant un niveau de protection suffisant. La décision « Privacy Shield » est censée garantir un niveau « essentiellement équivalent » de protection des données sur le territoire européen et sur le territoire américain comme le demandait la CJUE. L’adoption de cette décision n’a toutefois pas été exempte de critiques.

Les critiques évoquées à l’encontre du projet Privacy Shield

Le 29 février 2016, la Commission européenne a présenté son projet de décision Privacy Shield. Cette présentation a permis une analyse précise par le Groupe de l’article 29 (G29) qui réunit l’ensemble des autorités de régulation européennes. Plusieurs points d’inquiétude ont alors été relevés et présentés au sein de l’avis du 13 avril 2016.

Le G29 précise que pour pouvoir être approuvé, le Privacy Shield doit être à même d’assurer le même niveau de garantie que celui garanti pas les règles applicables dans l’Union européenne. Le G29 critique par ailleurs le fait que certains principes clés du droit des données personnelles européen ne soient pas clairement retranscrits par le Privacy Shield. En particulier, le fait que la conservation des données doive être limitée dans le temps ne ressort pas du texte. Le G29 souligne encore le fait que le transfert de données des Etats-Unis vers les pays tiers, réglementé par le Privacy Shield, devrait être garanti de la même façon que le transfert depuis l’UE, au risque de voir sinon les règles de l’UE contournées. En ce qui concerne le droit au recours, le G29 considère que le système mis en place est complexe et qu’il pourrait ne pas offrir une garantie effective telle que définie par la Convention Européenne des Droits de l’Homme et la jurisprudence de la Cour Européenne des Droits de l’Homme. Enfin et surtout, le G29 condamne l’absence d’éléments précis et concrets permettant de garantir qu’il n’y aura pas de surveillance massive et indiscriminée des données des citoyens européens. Or, la surveillance insuffisamment ciblée et encadrée juridiquement avait été l’une des raisons de l’invalidation du Safe Harbor considéré comme peu protecteur sur ce point après l’affaire Snowden.

Adoption de la décision d’adéquation

La décision d’adéquation qui reconnaît au Privacy Shield un niveau de protection « essentiellement » équivalent aux normes européennes en la matière a été adoptée par la Commission européenne le 12 juillet 2016. L’adoption de cette décision permet de combler le vide juridique qui avait suivi l’invalidation de la décision Safe Harbor. Les entreprises américaines doivent respecter un mécanisme d’auto-certification, par lequel elles s’engagent à respecter les principes inscrits au sein de ce texte. Une période transitoire de neuf mois a été accordée aux entreprises ayant déjà des relations commerciales établies avec des tiers, afin de ne pas nuire à ces relations tout en s’assurant que les règles relatives à la protection des données soient conformes dans un délai raisonnable. Les entreprises effectuant cette démarche d’auto-certification sont inscrites sur une liste et autorisées à devenir destinatrices de données venant d’Europe sans nécessité de mettre en place une autre solution (Par ex. BCR ou CCT).

Il revient au responsable de traitement basé en Europe de vérifier, avant de réaliser le transfert, que le destinataire US est effectivement inscrit sur cette liste (https://www.privacyshield.gov/list).

Quelles solutions pour les entreprises non inscrites sur la liste du Privacy Shield ?

Toutes les entreprises ne se sont pas engagées dans le processus d’auto-certification prévu par le Privacy Shield. Afin de rendre néanmoins possible un transfert de données avec ces entreprises d’autres solutions sont proposées par la Commission ou par la CNIL. La première de ces solutions consiste à adopter celles des clauses contractuelles types qui sont applicables (https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne). Les entreprises peuvent aussi recourir à des clauses contractuelles ad hoc sous réserve que ces clauses aient été préalablement reconnues par la CNIL comme garantissant un niveau suffisant de la vie privée et des droits fondamentaux des personnes. Enfin, la dernière possibilité est l’adoption de Binding Corporate Rules (https://www.cnil.fr/fr/les-bcr-regles-internes-dentreprise), qui s’appliquent au sein d’un groupe ou qu’une entreprise applique avec ses sous-traitants. Mais il s’agit d’une solution bien plus lourde pour les organismes, dans la mesure où elles doivent être approuvées par les autorités de régulation européenne qui désignent pour cela une autorité « chef de file », unique point de contact de l’entreprise. En pratique, cette procédure ne concerne que les groupes de sociétés les plus importants.

Avis du G29 du 26 juillet 2016 sur la décision Privacy Shield

Le G29 a analysé la version finale avant de publier une déclaration le 26 juillet 2016 dans laquelle il soulève à nouveau des points d’inquiétude. La première inquiétude concerne l’absence de garanties fortes sur l’indépendance et les pouvoirs du médiateur qui a été instauré par le Privacy Shield. D’autre part, bien que saluant l’engagement du directeur des services de renseignement américain de ne pas effectuer de collecte massive et indiscriminée de données personnelles, le G29 regrette qu’il n’y ait pas de plus fortes garanties permettant d’éviter de telles pratiques.

Le G29 a donc pris rendez-vous pour l’évaluation conjointe (UE/US) annuelle, prévue par le Privacy Shield. Cette évaluation sera l’occasion de vérifier l’effectivité des garanties censées être apportées à la protection des données personnelles. L’un des points majeurs que le G29 souhaite pouvoir vérifier lors de cette évaluation est la proportionnalité de la collecte et de l’accès des autorités publiques américaines aux données transférées dans le cadre du Privacy Shield.

Plusieurs recours en annulation de l’accord ont été déposés

Digital Rights, un groupe irlandais de défense de la vie privée sur Internet et le groupe français dit des « Exégètes amateurs » (rassemblant la Quadrature du Net, French Data Network et la Fédération FDN) ont déposé des recours devant les juridictions de l’Union Européenne. Ces recours ont été soutenus par l’UFC-Que-Choisir qui a fait part, en décembre 2016, de ses inquiétudes concernant les risques de « collecte massive d’informations par la NSA et les services de renseignement américains auprès des entreprises détentrices de données personnelles, incluant des données de consommateurs français qui ont été transférées aux États-Unis ».

Et après l’élection de Donald TRUMP ?

Le Parlement européen a adopté, le 6 avril 2017, une résolution faisant part, pour résumer, de son inquiétude de voir l’Administration Trump se désengager du #PrivacyShield. Mais les États-Unis n’ont apporté, depuis l’élection de Donald TRUMP, aucune modification à la législation de nature à remettre en question le fondement juridique du #PrivacyShield. Le décret « anti-immigrés » de l’administration Trump avait fait craindre une éventuelle restriction de la protection des données personnelles des européens. En réalité, la nouvelle législation ne s’applique pas aux citoyens européens. Quant aux pratiques… c ‘est précisément l’objet de la première évaluation annuelle.

Bientôt la première évaluation annuelle du Privacy Shield

Bientôt juillet 2016, soit un an depuis approuvé l’accord sur le transfert de données. La réévaluation de l’accord est annuelle. Mais elle devrait, dans les faits, être effectuée à la fin de l’été 2017. En septembre 2017, les autorités de contrôle et de surveillance américaines et européennes vont analyser et faire un bilan de la première année d’application du Privacy Shield. Cette #évaluation sera principalement menée, côté américain, par le ministère américain du commerce (le « Department of Commerce ») et la FTC (la « Federal Trade Commission » et côté européen par la Commission européenne et les représentant du G 29 et des autorités de régulation.

L’évaluation annuelle permettra de contrôler l’effectivité des garanties mises en place. Si les garanties sur les contrôles effectués par le service de renseignement américain ne sont pas considérées comme suffisantes et réellement efficientes, rien ne permet d’assurer que cette nouvelle décision de compatibilité ne sera pas, elle aussi, invalidée.

Pascal ALIX, Avocat à la Cour et Correspondant Informatique et Libertés

Hubert de Segonzac, Avocat à la Cour et Correspondant Informatique et Libertés

____________________________________________

[1] Article 68 de la loi Informatique et Libertés du 6 janvier 1978.

[2] CJUE, arrêt Schrems, 6 octobre 2001, C-362-14

Comments are closed.