Invalidation du Privacy Shield, c’est l’Union européenne qui est au pied du mur

Par un arrêt rendu le 16 juillet 2020 , la Cour de Justice de l’Union européenne (CJUE) a invalidé une décision datant de 2016 de la Commission européenne connue sous le nom « Privacy Shield » ou « Bouclier de Protection » en français . Ce « bouclier » était un mécanisme d’auto-certification, au titre prometteur, accepté par la Commission européenne et négocié avec le Department Of Commerce (DOC) du Gouvernement américain en 2016. Il vient a été sévèrement sanctionné par la CJUE. Une décision qui met l’Union Européenne dans l’obligation de réagir.

Pas de loi fédérale pour protéger les données personnelles aux US, et nous, et nous, et nous

Le problème qu’était censé résoudre le Privacy Shield était le suivant. Dans l’Union Européenne et depuis 25 ans, il est interdit de principe que des données personnelles concernant des résidents de l’UE soient exportées hors de la zone européenne et se retrouvent physiquement sur des infrastructures hors de cette Union. Les sanctions à une violation de la Loi sur cette question sont les sanctions administratives qui peuvent être prononcées par les CNIL et pour la France, même des sanctions pénales. Face à cette interdiction de principe, il existe des exceptions. Ainsi, les pays qui disposent d’une réglementation en matière de données personnelles équivalentes à celle de l’Union et d’un bras armé pour l’appliquer, comme la CNIL en France, peuvent se voir reconnaître pays adéquat par la Commission européenne. C’est le cas du Canada, d’Israël et de la Suisse par exemples, en tout une dizaine d’Etats, le dernier en date reconnu étant le Japon.

Problème : les Etats-Unis ne disposent ni d’une réglementation spéciale en matière de données personnelles, ni d’une CNIL, ce qui les exclue de fait, de cette catégorie d’exceptions. Les mauvaises langues prétendent que cette situation est le fruit d’un accord entre les autorités publiques américaines et les grandes entreprises globales du numérique basées aux Etats-Unis, sur le mode « on ne vous crée pas de contraintes dans ce domaine alors laissez nous mettre la main dans ce beau pot de confiture ». Mais ce sont des mauvaises langues qui parlent ainsi. … Autre problème, il est tout de même difficile de se passer du digital made in usa surtout dans l’Union Européenne qui a été particulièrement poreuse à ce numérique dans laquelle beaucoup d’entreprises ont basculé.

Or, maintenir une telle situation d’interdiction, reviendrait à avouer son impuissance à faire appliquer la Loi. La Commission a dès lors créé une exception spéciale et réservée aux organisations d’Outre-Atlantique, et c’est le Privacy Shield de 2016. Il suffit alors aux organisations américaines, pour quelques dizaines de dollars, de s’inscrire au programme du même nom, par lequel elles s’engagent et jurent sur la tête de leur mère, qu’elles respecteront, s’agissant des données personnelles des résidents européens qu’elles stockent sur le continent nord-américain, un minimum commun semblable au RGPD . La CJUE n’a cependant pas apprécié. Elle a considéré que les garanties accordées aux résidents européens étaient insuffisantes et a annulé cet accord ce 16 Juillet 2020.

L’Europe au pied du mur

Cette décision a en réalité un goût de « déjà-vu ». En effet, une décision rendue par la même instance européenne avait déjà invalidé le mécanisme de transfert préexistant, dénommé « Safe Harbor », le 6 octobre 2015 .

Il aura cependant fallu quelques mois à la Commission européenne pour rebaptiser le mécanisme de Safe Harbor en Privacy Shield, d’y saupoudrer ici ou là quelques modifications et le tour semblait jouer. Le problème est la CJUE veille. La première décision de 2015 avait déjà été obtenue sur plainte d’un jeune étudiant en droit autrichien du nom de Max Schrems. Celui-ci devenu entre-temps Avocat, a déposé un nouvelle plainte contre le nouveau mécanisme et le résultat s’est trouvé logiquement identique. Cet arrêt de la CJUE comptabilise 46 pages et 203 considérants, une décision longue et dense, qui semble condamner définitivement le mécanisme d’auto-régulation. La question qui se pose maintenant est donc : que fait-on ? La CJUE a donné une première voie de sortie. Cela s’appelle les clauses contractuelles types de la Commission Européenne . Prévu à l’article 46 du RGPD, un transfert de données à caractère personnel hors de l’Union Européenne présenterait les garanties suffisantes au regard du RGPD si l’exportateur de ces données conclue avec l’importateur situé dans un pays hors UE des clauses contractuelles types validées par la Commission Européenne.

L’arrêt de la CJUE, appuyé par la suite par les recommandations du CEPD, précise qu’il revient au responsable de traitement de s’assurer que le pays tiers vers lequel il exporte des données dispose d’un niveau de protection équivalent à celui de l’UE, et dans le cas contraire de mettre en place les mesures techniques et organisationnelles pour garantir un niveau de protection équivalent. Cette vérification devra se faire « au cas par cas ». Dans le cas où les mesures mises en place seraient insuffisantes, il reviendra alors aux autorités de contrôle compétente (dont la CNIL) de suspendre ou mettre fin au transfert en question. Il revient donc au responsable de traitement et/ou à la CNIL de pallier aux insuffisances de protections légales mises en place. En bref, un mécanisme complexe, pas aisé à mettre en place, et dont il n’est pas certain qu’il donne aux résidents de l’Union européenne, c’est-à-dire nous les citoyens, les consommateurs, les salariés, les parents etc. … les garanties qui leur manquaient dans le cas du Privacy Shield.

Car le problème n‘est pas juridique, mais bien politique. La Commission Européenne Barroso en place de 2004 à 2009, a laissé entrer à cette même époque dans l’Union Européenne une masse d’entreprises du numérique venant pour la plupart du web ou s’y étant adaptées, qui, profitant du réseau a national qu’est internet, ont mis en place des systèmes par lesquels ils se soustraient aux lois européennes. La Commission a laissé faire, sans jamais réagir, sans politique publique pour aider à l’émergement de champions européens, leur facilitant même la tâche en écrasant les concurrents européens de contraintes réglementaires diverses qui ont un coût et ont nuit à leur productivité. Aujourd’hui, le constat est amer. L’Europe vit sous un oligopole nommé GAFAM . La solution n’est pas un nouveau Privacy Shield ou une solution bancale comme les clauses types. Il faut, d’une part, que les GAFAM se localisent dans l’Union Européen pour servir les européens et se mettre ainsi en droit local. D’autre part, et c’est le rôle des pouvoirs publics en tous lieux du globe terrestre, il faut aider à l’émergement d’une offre alternative européenne qui donne le choix aux européens.

La Commission européenne semble l’avoir compris et l’arrivée récente de Thierry Breton comme Commissaire européen notamment au numérique, le seul Commissaire des 27 de la Commission Européenne qui vienne de l’industrie, montre qu’un changement s’est amorcé. Le nouveau Commissaire n’a cessé de multiplier ces derniers mois, les déclarations sur la souveraineté numérique européenne, au point d’inquiéter le Président de Google. Cet arrêt de la CJUE sur le Privacy Shield pourrait être son nouvel allié. Oui, avec cette décision, ce ne sont pas les GAFAM qu’il faut blâmer. C’est bien plutôt à nous européens, de prendre enfin notre destin en mains.