Privacy Shield – Faut-il que tout change pour que tout reste comme avant ?
Sujet brûlant en 2016, lors de sa mise en place, le Privacy Shield pourrait à nouveau faire parler de lui en 2018 si sa mise en œuvre aux États-Unis ne fait pas l’objet d’une réforme que beaucoup jugent indispensable à sa pérennité.
Adopté par l’administration américaine le 12 octobre 2016 et entré en vigueur le 1er août 2016, le Privacy Shield constitue la norme de référence concernant le transfert et la protection de données personnelles entre les États-Unis et l’Union européenne. Cette décision d’adéquation de la Commission européenne est venue remplacer l’ancien système du Safe Harbor invalidé par la Cour de justice de l’Union européenne (CJUE) dans l’arrêt Schrems, pour obsolescence (CJUE, 6 octobre 2015, affaire C-362/14 ; pour en savoir plus, vous pouvez consulter notre article paru sur LEXplicite).
Le Privacy Shield doit maintenant trouver sa place entre deux intérêts difficilement conciliables : l’« America First » prôné par l’administration Trump et l’entrée en vigueur imminente du règlement général de protection des données personnelles (RGPD).
Dans ce cadre, le Privacy Shield a fait l’objet d’un réexamen annuel conjoint par les autorités européennes et américaines. A l’occasion de ce bilan, la Commission européenne, le G29 ou encore le Conseil national du numérique (CNNum) ont fait des recommandations à l’attention des autorités américaines. Ces recommandations sont relatives aux réformes devant être mise en place rapidement afin d’assurer la conformité du dispositif aux exigences du droit de l’Union européenne. Les sujets abordés sont considérés comme cruciaux et leur non-respect pourrait entraîner la contestation de la régularité du Privacy Shield devant les juridictions nationales et de l’Union européenne.
Le réexamen annuel conjoint du Privacy Shield par les autorités européennes et américaines: un bilan en demi-teinte
Le premier bilan du dispositif a été rendu sous la forme d’un rapport de la Commission européenne publié le 18 octobre 2017. Ce rapport conclut que les autorités américaines organisent un système conforme aux dispositions du Privacy Shield. La Commission valide notamment le processus d’auto-certification et note que plus de 2 400 entreprises ont été auto-certifiées. Elle constate que les autorités américaines ont établi un système de traitement des plaintes ainsi que des procédures et des mécanismes contraignants afin d’assurer la protection des droits individuels, en particulier un panel d’arbitrage et un médiateur (« Ombudsperson »).
De son côté, dans un rapport adopté le 28 novembre 2017, le G29 s’est montré sensible aux avancées réalisées par les autorités américaines pour encadrer les flux de données transférées depuis l’Union européenne, et notamment le renforcement des contrôles des entreprises avant qu’elles soient répertoriées. Il constate également une amélioration de la transparence concernant l’utilisation des pouvoirs de surveillance des autorités américaines, avec notamment la publication de nombreux documents confidentiels, tels que les décisions de la Foreign Intelligence Surveillance Court (FISC) en partie déclassifiées. Pour autant, le dispositif est jugé perfectible.
C’est ainsi que la Commission a dressé une liste de recommandations à mettre en œuvre afin d’assurer que les garanties et mesures de protection en place continuent à être respectées. Le G29 et le CNNum ont d’ailleurs fait vivement écho à plusieurs de ces recommandations jugées prioritaires et devant être mises en place le plus rapidement possible.
- Le renouvellement de la Section 702 du Foreign Intelligence Service Act (FISA) et son extension en ligne de mire
La Section 702 du Foreign Intelligence Surveillance Act (FISA) autorise les services secrets américains à collecter, sans mandat, par le biais d’entreprises américaines telles que Facebook et Google, des données relatives à des citoyens non américains installés hors des États-Unis. La Commission européenne recommande que cette section soit réformée de manière à offrir les mêmes garanties de protection que celles contenues dans la Presidential Policy Directive-28 (PPD-28) pour les citoyens non américains, et ainsi protéger les données personnelles des individus sans tenir compte de leur nationalité ou de leur pays de résidence.
Le G29 demande quant à lui que le FISA soit réformé de façon à ce que la Section 702 dispose d’un ciblage précis en utilisant notamment le critère de la suspicion raisonnable (« reasonnable suspicion ») afin de pouvoir déterminer si un individu ou un groupe doit être surveillé. Ce ciblage doit faire au préalable l’objet d’un examen approfondi des cibles individuelles par une autorité indépendante.
Malgré ces recommandations, à la suite d’un vote de la Chambre des représentants et du Sénat, Donald Trump a ratifié la reconduction de la Section 702 du FISA le 19 janvier 2018 pour six ans. La nouvelle mouture du FISA pourrait étendre son système de surveillance et ses techniques les plus invasives, prenant ainsi à contrepied la recommandation de la Commission. Dans un tweet, le président Trump a clairement énoncé que le renouvellement du FISA concernait la « foreign surveillance of foreign bad guys on foreign land », ne laissant guère de doute sur son souhait limité de rendre le FISA plus compatible avec les principes de protection des données personnelles du Privacy Shield.
- La question prégnante de la nomination du Médiateur permanent et des membres du Privacy and Civil Liberties Oversight Board (PCLOB)
Selon les parties prenantes, il apparaît nécessaire de procéder le plus tôt possible à la nomination d’un Médiateur permanent dédié au Privacy Shield. À l’heure actuelle, la fonction de médiateur temporaire est occupée par le sous-secrétaire d’Etat dédié à la croissance économique, l’énergie et l’environnement, placé directement sous l’autorité du secrétaire d’État américain.
Le G29 indique également que les pouvoirs du médiateur doivent être clarifiés par le biais du déclassement des procédures internes concernant les rapports entre le Médiateur et les organes de surveillance. Le G29 considère que les pouvoirs actuels du Médiateur, censés remédier à l’absence de conformité des services de renseignement, sont insuffisants au regard de l’article 47 de la Charte des droits fondamentaux de l’Union européenne. Il convient de rappeler à cet égard que ladite Charte a une valeur juridique équivalente au traité de Lisbonne. Cette précision est d’importance puisque si un acte venait à contrevenir à une des dispositions de la Charte, l’acte encourrait la nullité (cf. Rapport du G29 sur le premier réexamen annuel conjoint).
De même, la nomination rapide des membres manquants du PCLOB et la publication du rapport – attendu – relatif aux PPD-28 apparaissent comme des mesures nécessaires au bon fonctionnement du Privacy Shield.
- Une clarification des procédures, et une coopération accentuée pour offrir de meilleures garanties de protection des données personnelles
Dans un communiqué du 19 septembre 2017, le CNNum estime que « le Privacy Shield présente un trop grand nombre de zones d’ombre et ne donne pas suffisamment de garanties à la protection des données personnelles des Européens ». De son côté, la Commission recommande que le Department of Commerce et la Federal Trade Commission notamment coopèrent afin de clarifier l’interprétation de certains concepts en lien avec le Privacy Shield.
Le G29 argumente également en ce sens, en identifiant un manque d’orientations et d’informations relatives aux droits et aux possibilités de recours des personnes concernées par le traitement des données. À cet égard, la Commission recommande que le Department of Commerce et les autres autorités concernées renforcent leurs efforts d’information et de sensibilisation. Le G29 indique que la question des recours des citoyens européens devant les juridictions américaines reste en suspens du fait de la problématique du seuil d’admissibilité du « standing requirement », l’équivalent américain de l’intérêt à agir.
- Un renforcement des contrôles et des procédés liés à l’auto-certification
Le G29 insiste sur la nécessité d’une meilleure surveillance et supervision de la conformité aux principes du Privacy Shield par le biais :
- de contrôles proactifs des entreprises auto-certifiées ;
- d’enquêtes pour détecter les entreprises faisant de fausses déclarations indiquant qu’elles ont obtenu l’auto-certification Privacy Shield. La Commission a constaté qu’un certain nombre d’entreprises qui n’étaient pas certifiées se présentaient comme telles au public ;
- d’une amélioration du processus d’interprétation et de traitement des données relatives aux ressources humaines et des règles relatives à la prise de décision automatisée ;
- d’une distinction claire du statut de gestionnaire de traitement (data processors) et de responsable de traitement dans le cadre des procédés d’auto-certification et des contrôles.
D’un point de vue strictement commercial, le CNNum relève qu’un Privacy Shield défaillant accentuerait « l’asymétrie critique » existante entre les entreprises américaines et européennes. En effet, les entreprises américaines soumises au système d’auto-certification américain ne subissent qu’un faible volume de contrôles et bénéficient donc d’un avantage compétitif important par rapport à des entreprises européennes soumises à des règles bien plus strictes. Cet écart risque fort d’augmenter avec l’entrée en vigueur du RGPD le 25 mai 2018, qui impose davantage de contraintes aux entreprises opérant sur le territoire européen (communiqué CNNum du 19 septembre 2017).
Les menaces juridiques planant sur le Privacy Shield
Le CNNum considère que l’actuel Privacy Shield est un dispositif transitoire qui doit nécessairement évoluer vers un dispositif juridiquement plus robuste afin de garantir la protection des données personnelles des citoyens européens. En effet, selon le CNNum, en l’état, le système du Privacy Shield est “faible, [et] susceptible d’annulation sur les mêmes fondements que son prédécesseur”.
Ainsi, un FISA renouvelé et étendu, un médiateur éternellement temporaire aux pouvoirs limités, l’absence de nomination aux postes clefs du PCLOB, des processus d’auto-certification peu contrôlés et un cadre juridique flou sont autant d’éléments susceptibles de caractériser l’irrégularité du Privacy Shield.
Le G29 insiste sur le fait que le traitement de l’ensemble des problèmes soulevés ci-dessus constitue une priorité absolue et que les mesures pour y parvenir doivent être prises avant l’entrée en vigueur du RGPD, le 25 mai 2018. Le G29 affirme qu’une fois ce délai passé, il n’hésitera pas à engager des poursuites à l’encontre du Privacy Shield devant les juridictions nationales afin qu’elles posent une question préjudicielle à la CJUE.
- L’affaire Digital Rights Ireland
La société civile n’a pas attendu le réexamen annuel conjoint pour contester le Privacy Shield. Le Tribunal de l’Union européenne a été saisi dès le 16 septembre 2016 d’un recours déposé par l’association Digital Rights Ireland visant à obtenir l’annulation du Privacy Shield. Le Tribunal de l’Union européenne a récemment déclaré irrecevable le recours de l’association (TUE, 22 novembre 2017, affaire T-670/16).
Sans se prononcer sur le fond, le Tribunal a jugé que cette association n’a pas qualité pour agir au nom de ses membres ou du public d’une manière générale. De plus, il considère que l’association ne peut pas non plus agir pour son propre compte puisqu’une personne morale ne possède pas de droit à la protection de ses données personnelles.
Le Privacy Shield ressort donc indemne de cette première confrontation judiciaire. Toutefois, cette tranquillité ne sera sûrement que de courte durée. Outre la menace du G29 de saisir les juridictions nationales, la société civile pourrait elle-même agir pour défendre ses droits.
- L’entrée en vigueur prochaine du RGPD
Le RGPD entrera en vigueur le 25 mai 2018. Son article 80 dispose que les personnes concernées par un traitement des données pourront donner mandat à une organisation ou une association à but non lucratif afin d’assurer la protection de leurs données personnelles devant les autorités nationales de contrôles et les juridictions de l’Union européenne. Par ailleurs, à l’instar de Maximilian Schrems, un citoyen de l’Union pourrait d’ores et déjà se considérer insuffisamment protégé par le Privacy Shield et saisir une juridiction nationale qui poserait ensuite une question préjudicielle à la CJUE.
Ainsi, la légalité du Privacy Shield pourrait se trouver remise en cause devant la CJUE. En l’absence des réformes nécessaires de la part de l’administration Trump, de sérieux doutes sur la pérennité de ce système peuvent être émis.
Auteurs
Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.
Benjamin Benezeth, juriste, droit des contrats et protection des données personnelles