Depuis l’arrêt[1] rendu par la Cour de justice de l’Union européenne invalidant le Safe Harbor du 6 octobre 2015, les entreprises, citoyens et autorités nationales de protection des données personnelles attendaient qu’un nouvel accord en matière de transfert des données à caractère personnel soit conclu entre l’Union européenne et les Etats-Unis. L’invalidation du Safe Harbor ne mettait pas un terme aux transferts de données à caractère personnel de l’Union européenne vers les Etats-Unis dans la mesure où les entreprises procédant à ces transferts pouvaient se fonder sur les binding corporate rules (pour les partages de données personnelles internes aux entreprises), les clauses contractuelles types ou encore, lorsque cela est autorisé, sur l’une des exceptions à l’interdiction des flux transfrontières visés à l’article 69 de la loi Informatique et libertés. Victoire pour les défenseurs du droit à la vie privée, cette décision n’en engendrait pas moins une insécurité juridique pour les entreprises. Afin de pallier cette situation, les membres de l’Article 29 (autorités nationales en charge de la protection des données à caractère personnel) avaient donc demandé, quelques jours après l’arrêt Schrems, « aux Etats membres et aux institutions européennes d’engager au plus vite les discussions avec les autorités américaines afin de trouver des solutions politiques, juridiques et techniques permettant de transférer des données vers le territoire américain dans le respect des droits fondamentaux »[2]. Cette période de transition avait une date butoire : le 31 janvier 2016, date au-delà de laquelle les autorités nationales de protection des données personnelles s’autorisaient à mettre en œuvre les actions nécessaires pour assurer la protection des données personnelles. Le 2 février 2016, la Commission européenne a annoncé être parvenue à un accord avec les Etats-Unis : l’EU-US Privacy Shield[3]. Ce texte assure-t-il réellement un niveau de protection adéquat des données à caractère personnel lorsqu’elles sont transférées hors de l’Union européenne ? A ce jour, l’accord n’est pas encore publié, empêchant ainsi toute analyse détaillée des futures dispositions. En revanche, le communiqué de presse de la Commission européenne présente les principaux mécanismes du futur dispositif.
L’objectif de ce nouvel accord est double. Il s’agit d’une part de « protéger les droits fondamentaux des citoyens de l’Union lorsque leurs données sont transférées vers les Etats-Unis » et d’autre part d’« apporter une sécurité juridique aux entreprises ». L’accord prévoit trois grandes catégories de dispositions : des obligations à destination des entreprises, des obligations à destination des autorités américaines ainsi que des dispositions visant à assurer aux citoyens une protection effective de leurs droits. Les entreprises souhaitant transférer des données à caractère personnel devront, non seulement publier leur engagement, qui leur sera donc opposable, mais également respecter des conditions strictes quant au traitement des données. Le contrôle de ces engagements sera assuré par le Département du commerce américain et la Federal Trade Commission qui pourront adopter des sanctions pouvant aller jusqu’à l’exclusion du nouveau dispositif en cas de manquement par une entreprise à ses obligations. De plus, pour les données relatives aux ressources humaines, les entreprises devront se conformer aux décisions des autorités européennes en charge de la protection des données personnelles. L’accès par les autorités américaines aux données sera également encadré. En effet, les Etats-Unis se sont engagés à ce que « l’accès par les autorités publiques américaines à des fins d’ordre public et de sécurité nationale soit soumis à une supervision, des limites et des garanties bien définies ». L’application de l’exception de sécurité nationale devra également être mise en œuvre de façon proportionnée et « uniquement dans la mesure où elle est nécessaire ». Un contrôle annuel de l’application de l’accord sera organisé avec la participation d’experts du renseignement américain et des régulateurs européens. Enfin, les citoyens de l’Union européennes disposeront de plusieurs voies de recours dès lors qu’ils considèreront que leurs données ont fait l’objet d’une utilisation abusive. Le mode de règlement des différends recommandé est celui d’une négociation directe avec l’entreprise ayant transféré les données. Les citoyens pourront également se tourner vers les autorités nationales en charge de la protection des données personnelles qui s’assureront que la Federal Trade Commission traite de la plainte. Enfin, un mécanisme d’arbitrage sera mis en place en cas d’échec des précédents recours. Pour les litiges ayant traité à l’accès par les autorités publiques américaines aux données, un médiateur en charge de la sauvegarde des droits des citoyens (Ombudsman) et indépendant des services de sécurité nationale, sera nommé.
La CJUE, dans son arrêt du 6 octobre 2015, a statué que les principes et mécanismes de la sphère de sécurité n’assuraient pas un niveau adéquat de protection des données. La Cour dénonçait d’une part le caractère indiscriminé de la captation des données par les autorités américaines et d’autre part l’absence de mécanisme de contrôle visant à évaluer la légalité des ingérences dans les droits fondamentaux des personnes dont les données avaient été transférées. Enfin, elle relevait l’absence de possibilité pour le justiciable d’exercer des voies de recours. Le Safe Harbor violait donc le droit à la vie privée et le droit à une protection juridictionnelle effective. L’EU-US Privacy Shield semble répondre aux critiques émises par la CJUE. En effet, il pallie la violation du droit à la vie privée en encadrant l’accès aux données par les autorités américaines, en imposant de nouvelles obligations aux entreprises et en dotant les autorités américaines de contrôle d’un pouvoir de sanction. Quant à la violation du droit à une protection juridictionnelle effective, il y répond en multipliant les voies de recours possibles pour les citoyens européens. Cependant, certaines dispositions du Safe Harbor ne semblent pas être remises en cause. Ainsi, le régime du Privacy Shield resterait un régime d’adhésion et d’auto-régulation et l’autorité américaine de contrôle sera toujours la Federal Trade Commission. Si les annonces semblent donc aller vers une plus grande protection des données des citoyens européens, de nombreuses zones d’ombre persistent, ce que n’a pas manqué de relever Isabelle Falque-Pierrotin lors d’une conférence de presse[4]. Une des grandes inconnues de cet accord concerne les pouvoirs et moyens qui seront mis à la disposition de l’Ombudsman, or ceux-ci sont au centre d’un contrôle efficace visant à empêcher toute surveillance de masse. L’effectivité de l’accord soulève également des doutes dans la mesure où le concept de sécurité nationale a une acception très large. Il est en effet difficilement concevable que les régulateurs européens disposent de suffisamment d’influence pour limiter la surveillance de masse des européens. Quant au pouvoir de contrôle et de sanction de la Federal Trade Commission, il reste pour l’instant trop flou pour pouvoir en apprécier l’éventuelle effectivité. De plus, rappelons que dans une déclaration datée du 15 octobre 2015[5], le G29 avait énoncé quatre principes devant gouverner le futur accord sur le transfert de données à caractère personnel : un traitement basé sur des règles claires, précises et accessibles ; un accès nécessaire, proportionné et fondé sur des objectifs légitimes ; un mécanisme de supervision indépendant et enfin l’existence de recours effectifs permettant à chacun de défendre ses droits devant un organe indépendant. Cette ébauche de standard européen sera donc au cœur de l’appréciation qui sera faite par le G29 du futur accord. En attendant l’adoption de cet accord, les entreprises pourront continuer à transférer les données à caractère personnel vers les Etats-Unis sur la base des règles internes de groupe (BCP), clauses contractuelles types et autres clauses ad hoc.
La confiance de l’utilisateur envers une entreprise est nécessairement fondée sur la transparence, basée sur le respect des lois et la conformité à des normes internationales indépendantes et la vérification de la conformité des services par un tiers indépendant. Le futur accord doit donc impérativement répondre à ces exigences. L’annonce de l’EU-US Privacy Shield a d’ores et déjà suscité indignation, méfiance ou engouement, laissant envisager d’âpres débats sur son contenu et sa capacité à protéger les données des citoyens européens. Ainsi, Max Schrems a d’ores et déjà annoncé qu’il contesterait la validité de cet accord. La mise en demeure par la CNIL de Facebook le 8 février 2016 à qui il est reproché, entre autre, de s’appuyer encore sur le Safe Harbor, démontre la nécessité qu’il y a à disposer d’un nouveau cadre juridique pour le transfert des données de l’Union européenne vers les Etats-Unis. En revanche, l’exigence de sécurité juridique ne saurait servir de prétexte pour violer le droit fondamental à la vie privée.
Ressources:
[1] Arrêt CJUE du 6-10-2015, Affaire C-362/14 Maximillian Schrems v Data Protection Commissioner, http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:62014CJ0362&from=FR
[2] CNIL, « Safe Harbor : le G29 demande aux institutions européennes et aux gouvernements d’agir sous trois mois », 16 octobre 2015, http://www.cnil.fr/linstitution/actualite/article/article/safe-harbor-le-g29-demande-aux-institutions-europeennes-et-aux-gouvernements-dagir-sous-3-mois/
[3] Commission européenne, communiqué de presse, 2 février 2016, http://europa.eu/rapid/press-release_IP-16-216_en.htm
[4] https://scic.ec.europa.eu/streaming/article-29-subgroup-implementation-of-the-privacy-directive
[5] Statement of the Article 29 Working Party, Brussels, 16 October 2015 : http://www.cnil.fr/linstitution/actualite/article/article/safe-harbor-le-g29-demande-aux-institutions-europeennes-et-aux-gouvernements-dagir-sous-3-mois/