Privacy shield : les premières pierres de l’édifice
Les modalités de transfert de données personnelles entre la France et les Etats-Unis étaient encadrées depuis 2000 par une décision de la Commission européenne. Ce cadre juridique, dit « Safe harbor« , a toutefois été remis en cause à l’automne 2015 par la Cour de justice de l’Union européenne. Prises de court, les entreprises concernées ont donc dû mettre en place des dispositifs transitoires, afin que les transferts de données puissent continuer dans l’attente de l’adoption de mesures pérennes. La Commission européenne a ensuite proposé, fin février 2016, un nouveau cadre de réglementation pour ces transferts, sur lequel le G29 a produit ses premières observations le 13 avril 2016.
Remise en cause du Safe harbor
Dans un arrêt du 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a invalidé la décision 2000/520 du 26 juillet 2000 de la Commission européenne relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité« , dite « Safe Harbor » (CJUE, 26 octobre 2015, C-362/14).
Saisie à titre préjudiciel, la CJUE a considéré qu’une autorité nationale de protection des données ne pouvait pas être liée par une décision de la Commission européenne, et pouvait donc diligenter des contrôles en toute indépendance. Mais la Cour est allée plus loin en jugeant que la décision du 26 juillet 2000 devait être invalidée, et ce pour trois raisons principales :
- une décision autorisant le transfert de données vers un pays tiers devrait faire l’objet de réactualisations régulières : ce qui était valable en 2000 ne l’est plus nécessairement en 2015 ;
- la possibilité, pour les autorités américaines, de pouvoir passer outre le régime de la sphère de sécurité pour faire respecter la sécurité nationale, les lois américaines ou encore l’intérêt public porte en germe la possibilité d’ingérences jugées trop importantes ;
- enfin, l’impossibilité pour le titulaire des données d’exercer ses droits d’accès, de rectification et de suppression porte atteinte au droit au recours effectif.
En se déterminant ainsi, la CJUE a remis en cause les modalités de transfert des données personnelles entre la France et les Etats-Unis. Il a fallu, au plus tôt, imaginer des solutions transitoires.
Période transitoire : les possibilités de transfert de données entre la France et les Etats-Unis
La première question qu’il a fallu se poser après cette décision a été celle de la mise en conformité des traitements de données réalisés aux Etats-Unis. Le respect des principes du Safe harbor ne pouvait plus être considéré comme suffisant. Plus de 4 000 entreprises, qui s’étaient appuyées sur ce texte, voyaient dès lors leur situation juridique mise en péril a posteriori.
A cet égard, et de manière immédiate, quelques solutions ont pu être mises en place par les entreprises françaises désireuses de continuer à transférer des données vers les Etats-Unis :
- l’utilisation des clauses-types publiées par la Commission européenne dont la signature par l’expéditeur et le destinataire des données est réputée assurer la sécurité du transfert envisagé, mais qui impliquent néanmoins une autorisation préalable de la CNIL ;
- les règles contraignantes d’entreprise (binding corporate rules : BCR), qui sont considérées, indépendamment de l’Etat de destination des données, comme offrant une protection adéquate des données.
Toutefois, pour les entreprises qui n’en disposaient pas au moment de l’invalidation du Safe harbor, de telles règles ne sauraient se substituer immédiatement au dispositif antérieur, puisqu’elles doivent être soumises et validées par les autorités nationales de protection des données personnelles concernées. Par ailleurs, elles ne s’appliquent qu’aux transferts de données intervenant au sein d’un groupe de sociétés et ne peuvent donc couvrir l’ensemble des besoins.
L’article 69 de la loi n°78-17 du 6 janvier 1978 dite « informatique et libertés » autorise par ailleurs les transferts de données, même vers un Etat n’assurant pas un niveau de protection adéquat, dans un certain nombre d’hypothèses. C’est ainsi le cas lorsque la personne concernée y a consenti expressément. Un tel transfert est également possible dès lors qu’il est nécessaire à la sauvegarde de l’intérêt public, à l’exécution d’un contrat entre le responsable du traitement et l’intéressé ou de mesures précontractuelles prises à la demande de la personne à laquelle se rapportent ces données, ou encore à la suite de la conclusion ou de l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable de traitement et un tiers. Mais les autorités de protection des données interprètent restrictivement ces règles : elles considèrent notamment que les transferts de données des salariés ne sauraient être effectués sur le fondement de cette unique disposition, du fait du lien de subordination qui existe entre ces derniers et leur employeur, responsable de traitement (voir aussi sur ce point la position du G29 du 25 novembre 2005, WP114). Par ailleurs, aucun transfert massif et structurel de données ne saurait intervenir sur ce fondement (voir sur ce point le guide « Les transferts de données à caractère personnel hors Union européenne » de la CNIL, novembre 2012, page 37).
Une approche globale s’imposait donc, comme en témoigne la position commune adoptée par le G29 le 16 octobre 2015 (WP29) invitant les institutions européennes et nationales à trouver des solutions juridiques et techniques acceptables avec les Etats-Unis, avant le 31 janvier 2016. C’est ainsi que la Commission européenne a présenté un nouveau dispositif encadrant les transferts de données outre-atlantique.
Premiers fondements du Privacy shield : les propositions de la Commission européenne
Le 29 février 2016, la Commission européenne a présenté le nouveau cadre de transfert de données des pays de l’Union vers les Etats-Unis (communiqué de presse IP/16433). Les actes juridiques du projet découlent :
- de la renégociation d’un accord-cadre entre l’Union et les Etats-Unis, concernant les normes de protection des données à des fins d’ordre public, ou EU-US Umbrella agreement. Une proposition de décision du Conseil vient d’être rendue publique sur ce sujet, le 29 avril 2016. Elle concerne « la conclusion, au nom de l’Union européenne, d’un accord […] sur la protection des informations à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière » (document COM(2016) 238 final). La proposition devra ensuite être votée par les parlements nationaux. En France, l’Assemblée nationale et le Sénat en sont saisis depuis le 3 mai 2016 ;
- du nouveau cadre des échanges de données à caractère commercial : c’est le “bouclier de protection des données Union européenne/Etats-Unis”, ou EU-US Privacy shield, qui comprend:
– un corpus de règles auquel les entreprises doivent adhérer ; et
– une série d’engagements écrits du Gouvernement des Etats-Unis, qui doivent encore, pour partie, être publiés au Journal officiel américain. Le judicial redress act (loi sur le recours juridictionnel), qui autorise les citoyens de l’Union européenne à faire valoir leurs droits à la protection des données devant les tribunaux américains, constitue la première pierre de cet édifice. Il a été promulgué le 24 février 2016. Le Gouvernement américain s’est également engagé à bannir toute surveillance massive : la captation d’informations par les services de renseignement américains devra désormais être ciblée et répondre à un principe de proportionnalité. Il ne pourra en être autrement qu’en cas de situation exceptionnelle, nécessitant une réponse rapide. Un médiateur veillera au respect de ces engagements.
La Commission a également rendu public son projet de décision sur le caractère adéquat du niveau de protection offert par ce nouveau dispositif appelé à remplacer en fin de processus la décision du 26 juillet 2000. Les garanties présentées dans le cadre du nouveau dispositif sont les suivantes :
- des mécanismes de surveillance stricte des entreprises qui se sont engagées à respecter le bouclier de protection des données, assortis de possibilités de sanction et d’exclusion en cas de non-respect ;
- le durcissement des règles de transferts de données ultérieurs à des sociétés tierces pour les entreprises qui ont adhéré au dispositif ;
- la possibilité pour les citoyens européens de déposer une plainte en cas de transfert de données ne respectant pas les principes de protection : les entreprises visées devront répondre à ces demandes sous 45 jours ;
- un accès sans frais à un mécanisme de règlement extra-judiciaire des litiges.
En outre, la Commission s’engage à mettre en œuvre un processus de contrôle continu de l’usage des données transférées aux Etats-Unis, dans le cadre d’un mécanisme de réexamen annuel conjoint entre le ministère américain du Commerce et elle. La Commission pourra, dans ce cadre, examiner toutes les sources d’informations disponibles. Un rapport annuel sera établi sur ces bases et transmis au Parlement européen et au Conseil. Cela permettra, au besoin, d’abroger la décision de la Commission reconnaissant un niveau de protection des données adéquat vers les Etats-Unis, ou d’engager des renégociations, sans attendre une possible sanction judiciaire.
Les observations du G29
Avant toute décision définitive de la Commission européenne, celle-ci devait recueillir l’avis du collège regroupant les autorités nationales de protection des données, le G29. Celui-ci a produit des observations en demi-teinte le 13 avril 2016.
Le G29 a tout d’abord souligné plusieurs améliorations significatives du paquet Privacy shield par rapport au Safe harbor. Ainsi, les notions clés y sont définies. De même, les mécanismes mis en place pour contrôler le respect des principes sont protecteurs, notamment les audits de sécurité internes et externes.
Par ailleurs, sur le fond, le G29 a examiné la conformité du projet de décision aux quatre garanties qu’il a préalablement identifiées comme essentielles à la légalité et à la sécurité du dispositif (document de travail 01/2016 relatif à la justification des interférences entre les droits fondamentaux à la vie privée et à la protection des données et les mesures de surveillance mises en place lors du transfert de données):
- l’existence de règles claires, précises et accessibles encadrant le transfert de données
- la nécessité du transfert de données et la proportionnalité des données transférées au but poursuivi ;
- l’existence d’un mécanisme de contrôle indépendant de ces transferts ;
- des possibilités d’opposition et de recours effectifs pour les individus.
Concernant le texte lui-même (1re garantie), le G29 déplore un « manque général de clarté » dans la présentation du dispositif (communiqué de presse du 13 avril 2016, relayé sur le site Internet de la CNIL), notamment dans son volet commercial. En effet, le projet de décision de la Commission est composé de plusieurs lettres, d’un projet de décision et de plusieurs annexes qui ne semblent pas parfaitement cohérents entre eux.
Le collège déplore également la dissociation entre le cadre européen existant (directive 95/46 du 24 octobre 1995) et les notions et le cadre posés dans le dispositif Privacy shield. L’écart d’approche ne devrait pas être réduit après l’entrée en vigueur du règlement général sur les données personnelles. Le G29 propose donc l’insertion d’une clause de révision qui permettra le rapprochement du dispositif entre l’Union européenne et les Etats-Unis avec celui bientôt en vigueur en Europe.
Concernant la nécessité du transfert (2e garantie), le G29 relève que s’il existe, dans le projet de décision, un principe de « finalité limitée » du traitement de données, celui-ci n’est pas défini. Aucune règle concernant la durée de conservation des données n’est par ailleurs introduite.
Ensuite, la possibilité laissée aux services de renseignement américains d’accéder massivement aux données transférées en cas de menace terroriste est trop large pour assurer une protection suffisante des données. Le principe de proportionnalité n’est, dans ce cadre, pas respecté. Les accès massifs et indifférenciés devraient, à cet égard, selon le collège, toujours être interdits. Le G29 renvoie, pour clarifier ce point, à une ou plusieurs décisions préjudicielles de la CJUE qui devraient être rendues d’ici la fin de l’année 2016 : les affaires Tele2 Sverige AB (C-203/15) et Davis (C-698/15 : passée en procédure accélérée par ordonnance du 1er février 2016, probable jonction avec l’affaire précédente).
S’agissant de l’existence d’une autorité indépendante de contrôle (3e garantie), le G29 constate et salue la création du médiateur américain de contrôle des données. Mais il souhaiterait de plus sérieuses garanties quant à l’indépendance et aux facultés d’action de ce médiateur.
Enfin, concernant les possibilités de recours ouvertes aux citoyens (4e garantie), le G29 déplore leur complexité et, notamment, le fait que la procédure ne pourrait s’effectuer qu’en anglais. Par ailleurs, plusieurs types de recours sont ouverts, en fonction des situations. Le collège préconise plutôt que les autorités nationales de protection des données, à tout le moins celles qui le souhaitent, puissent être saisies puis exercer le recours au nom du propriétaire des données, ou au moins, deviennent le « point de contact » naturel des citoyens, comme ce sera le cas concernant les transferts de données au sein de l’Union européenne après l’entrée en vigueur du règlement général sur la protection des données personnelles.
Ainsi, le communiqué du G29 du 13 avril 2016 conclut en demandant à la Commission européenne « de répondre aux sérieuses préoccupations exprimées et d’apporter les précisions nécessaires afin d’améliorer le projet de décision d’adéquation et de garantir un niveau de protection des données personnelles essentiellement équivalent au niveau exigé par l’Union européenne« .
Et maintenant…
L’avenir du Privacy shield est incertain. En effet, la décision de la Commission européenne devait initialement être adoptée d’ici la fin de l’année.
Si l’avis des autorités de contrôle des données est facultatif, il semble toutefois dangereux de ne pas y prêter l’oreille. En effet, le risque de contestation devant la CJUE est important. Reste à savoir si tout ou partie des éléments évoqués pourront être clarifiés dans le cadre des négociations encore en cours avec le département d’Etat américain.
Auteur
Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.