Le coup de théâtre de l’invalidation du Safe Harbor, le 6 octobre dernier, a laissé place à un vide juridique sans précédent pour tous les acteurs économiques procédant à des transferts de données personnelles vers les Etats-Unis.

Pour pallier ce vide, les institutions européennes et les autorités nationales de contrôle de la protection des données œuvrent à l’adoption d’un nouvel accord avec les Etats-Unis, le Privacy Shield.

Mais, dans la mesure où il ne sera pas adopté avant la fin du mois d’avril, les entreprises doivent pour l’heure recourir à des mécanismes alternatifs.

Du crépuscule du Safe Harbor …

Au sein de l’Union Européenne, les transferts de données à caractère personnel sont réglementés par la directive 95/46 du 24 octobre 1995.

Cette directive prohibe notamment la réalisation de ces transferts au profit d’entreprises implantées dans des pays dont le niveau de protection des données personnelles est inférieur aux standards applicables dans l’Union européenne, tels que les Etats-Unis.

Néanmoins, les transferts de données à caractère personnel à destination des entreprises situées aux Etats-Unis étaient rendus possible au moyen d’un accord spécifique, l’accord Safe Harbor («sphère de sécurité») conclu entre la Commission européenne et le Département américain du commerce le 26 juillet 2000.

Le Safe Harbor permettait à des entreprises américaines, sur la base du volontariat, d’adhérer aux principes de protection des données personnelles issus de la directive 95/46 du 24 octobre 1995, afin de recevoir, stocker et traiter ces données en provenance de l’Union européenne.

Ce modus vivendi a été totalement remis en cause par une décision de la Cour de Justice de l’Union européenne du 6 octobre 2015.

Une règlementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privé.

En effet, à la suite des révélations de l’affaire Edward Snowden concernant les activités des services de renseignement américains, M. Maximillian Schrems, un citoyen autrichien utilisant Facebook depuis 2008, a déposé une plainte auprès de l’autorité irlandaise de contrôle considérant que les pratiques des Etats-Unis n’offraient pas de protection suffisante contre la surveillance des données personnelles transférées vers ce pays.

Or, les données personnelles des internautes européens utilisant Facebook sont, en pratique, transférées sur des serveurs situés aux Etats-Unis par l’intermédiaire d’une filiale irlandaise.

L’autorité irlandaise a rejeté la plainte de M. Schrems en se fondant sur le Safe Harbor et en estimant qu’au regard de ce régime, les Etats-Unis assuraient un niveau adéquat de protection aux données à caractère personnel transférées.

Saisie par la High Court of Ireland, la Cour de Justice de l’Union Européenne a estimé, au contraire, que « l’existence d’une décision de la Commission constatant qu’un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle en vertu de la Charte des droits fondamentaux de l’Union européenne et de la directive ».

Or, à cet égard, la Cour a relevé que :

  – le Safe Harbor était uniquement applicable aux entreprises américaines qui y souscrivaient, sans que les autorités publiques américaines y soient elles-mêmes soumises;

  – et que les lois américaines en matière de sécurité nationale obligeaient les entreprises à écarter, sans limitation, les règles de protection du régime Safe Harbor.

Par conséquent, la Cour a considéré que l’accord Safe Harbor conclu par la Commission était invalide …

… à l’aube du Safe Harbor 2 : le Privacy Shield

Compte tenu de la décision de la CJUE du 6 octobre 2015,  le groupement des autorités nationales de protection des données de chaque Etat membre (le G29) a pris acte que les transferts de données personnelles opérés sur le fondement du Safe Harbor étaient devenus illégaux.

Le G29 a donc demandé aux institutions européennes et aux différents gouvernements de négocier avec les autorités américaines afin de trouver un nouveau cadre juridique applicable aux transferts transatlantiques de données personnelles.

Le 29 février 2016, la Commission européenne a rendu public un projet d’accord, le Privacy Shield («bouclier de protection de la vie privée»).

Ce nouveau régime comprend les principes auxquels les entreprises doivent adhérer ainsi qu’une série d’engagements écrits du gouvernement américain concernant la mise en œuvre du dispositif.

La principale innovation de cet accord serait donc l’existence de garanties écrites prises par le gouvernement américain, et notamment :

– le contrôle strict de l’accès aux données des européens,

– la création de plusieurs voies de recours pour les citoyens européens aux Etats-Unis,

– la mise en place de sanctions voire d’exclusions des entreprises importatrices de données en cas de violation des principes de protection des données,

– ainsi que la création d’un mécanisme de réexamen annuel conjoint de l’accord.

Toutefois, le Privacy Shield, à peine annoncé, se heurte déjà à de nombreuses critiques.

Faute d’un support juridique plus solide et de véritables engagements des autorités américaines, le Privacy Shield pourrait également être remis en cause par la Cour européenne de justice de l’Union.

En effet, en l’état, il laisse la possibilité aux autorités nationales américaines de poursuivre les collectes massive de données à des fins de surveillance dans plusieurs hypothèses définies de façon très large.

Plus précisément, l’article 5 de l’accord précise que l’obligation d’adhérer à ce traité ne s’appliquera pas dès lors que la sécurité nationale et l’intérêt public sont en jeu. De même l’annexe IV prévoit que la collecte de masse des données de consommateurs puisse intervenir dans les cas suivants :

– l’enquête de certaines activités des puissances alliées ;

– la lutte contre le terrorisme ;

– la lutte contre la prolifération des armes de destruction massive ;

– la cybersécurité ;

– la détection de menaces pour les Etats-Unis ou les forces alliées ;

– le combat contre tout criminel en fuite ou toute tentative d’échapper aux sanctions.

Dans la mesure où les autorités nationales de contrôle des données n’ont pas participé aux négociations, le G29 doit tenir une réunion extraordinaire afin d’analyser précisément le contenu du Privacy Shield.

La décision finale du G29 ne sera certainement pas connue avant le mois d’avril 2016, de sorte que pour le moment, un flou demeure concernant le transfert de données personnelles vers des entreprises situées aux Etats-Unis.

En attendant le Privacy Shield, quelques outils alternatifs …

Dans la mesure où les transferts réalisés sous l’empire du Safe Harbor sont désormais illégaux et susceptibles d’être sanctionnés par la CNIL, quelles solutions envisager dans l’attente de la publication officielle du Privacy Shield ?

En matière de transferts de données personnelles vers des entreprises situées en dehors de l’Union Européenne, trois solutions sont susceptibles d’encadrer les transferts de données :

 – Les déclarations simplifiées relevant des normes n°46 et 48 de la CNIL,  qui sont des règles adoptées par la CNIL relatives la protection des données à caractère personnel (norme n°46 relative à la gestion du personnel et norme n°48 relative à la gestion des clients et des prospects).

  – Les Binding Corporate Rules (BCR), qui sont des règles internes d’entreprise définissant sa politique en matière de transfert de données et permettent à ce titre d’offrir une protection adéquate. La mise en place de BCR nécessite en pratique plusieurs mois, car elle impose l’instauration d’un cadre juridique sécurisé et le développement par l’entreprise de nombreux dispositifs contraignants.

  – Les clauses contractuelles types (CCT), qui sont des clauses adoptées par la Commission européenne dans l’objectif de faciliter la tâche des responsables de traitement des données à l’occasion de transferts hors de l’Union européenne. A court terme, les CCT constituent l’outil le plus opérationnel et le plus aisé à mettre en œuvre, dans la mesure elles ne doivent être communiquées à la CNIL que si l’entreprise modifie le contenu des modèles officiels fournis par l’Union européenne.

Mais l’application de ces solutions alternatives reste également sujet à controverse. En effet, le G29 doit également se prononcer, à la fin du mois d’avril, sur la légalité des dispositifs précités s’agissant des transferts de données vers les Etats-Unis …

La seule certitude est donc qu’« aujourd’hui, l’usage du Safe Harbor est illégal », comme le rappelle la Présidente de la CNIL, Mme Isabelle Falque-Pierrotin.