Après l’invalidation du Privacy Shield, « une insécurité juridique totale » selon Me Ricouart-Maillet

Comment gérer l’après-Schrems 2, du nom de la décision de la Cour de justice de l’Union européenne invalidant le Privacy Shield ? Me Martine Ricouart-Maillet, vice-présidente de l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) a bien voulu répondre aux questions de Next INpact.

Comment résumer la décision Schrems 2 à l’attention d’une personne qui n’y comprendrait rien ?

Le règlement européen sur la protection des données encadre ce que l’on appelle les flux transfrontières. C’est-à-dire les flux de données à caractère personnel qui transitent vers des États tiers à l’Union européenne. Plusieurs situations sont alors possibles. Soit le pays a fait l’objet d’une décision d’adéquation, décision par laquelle la Commission européenne reconnaît que cet État a une législation protectrice des données personnelles substantiellement équivalente.

Soit elle n’a pas fait l’objet d’une telle décision, auquel cas il faut recourir à des garanties appropriées fixées par l’article 46 du RGPD. Parmi elles, il y a les clauses contractuelles types que la Commission européenne a elle-même mises en place. C’est une sorte de contrat passé entre l’exportateur et l’importateur de données, censée garantir le respect des droits fondamentaux des personnes et la possibilité d’avoir un recours en justice dans le pays importateur des données.

Aux États-Unis, de nombreux textes tels que le FISA, le Patriot Act, et maintenant le Cloud Act donnent une primauté pour des raisons d’ordre public interne à certains organismes. Ils peuvent demander en justice à ce que les données personnelles détenues par une société américaine partout dans le monde leur soient transférées ou qu’ils puissent y avoir accès. Par conséquent, il a fallu négocier.

Cette négociation a abouti dans un premier temps au Safe Harbor qui aménageait certes des modalités de protection… mais malheureusement le fond n’était pas résolu : on n’a pas pour autant changé la législation américaine qui fait triompher sa sécurité et son ordre publics. Max Schrems, un avocat autrichien, a lancé une procédure contre Facebook Irlande estimant que le réseau social transmettait des données aux États-Unis dans la plus parfaite illégalité dans la mesure où le Safe Harbor n’était pas si protecteur.

La CJUE a invalidé ce texte le 6 octobre 2015. De sorte que l’UE et les États-Unis ont dû se remettre autour d’une table. Et cela a abouti au Privacy Shield, censé aller un peu plus loin dans la protection des individus au regard des données personnelles.

Seulement, on revient toujours sur la même question : est-ce que pour autant un accord tel que celui-là peut aller à l’encontre des dispositions d’ordre public citées tout à l’heure ? Bien sûr que non. Des négociations entre l’Union européenne et les États-Unis ont abouti à des accords qui sur le fond ne pouvaient garantir la protection des citoyens européens.

• La CJUE invalide le Safe Harbor américain : quelles conséquences ? 

Schrems y est allé d’un second recours où la Haute Cour irlandaise a posé une question préjudicielle. Avant de juger si Facebook transmettrait dans l’illégalité ou pas, il fallait interroger la Cour de justice. Celle-ci a répondu qu’effectivement, le Privacy Shield, pas plus que le Safe Harbor, n’était censé garantir les droits des individus, eu égard, a dit la cour, à la primauté des exigences relatives à la sécurité nationale, l’intérêt public, le respect de la législation américaine. De sorte qu’il y a ingérence possible dans les droits fondamentaux des personnes dont les données sont transférées dans les pays.

En somme, dans la mesure où la législation américaine n’avait pas été modifiée, vous n’avez donc pas été spécialement surprise de cette invalidation…

Absolument pas. On se dit que cela tenait aussi longtemps que cela pouvait tenir et que personne ne faisait de recours. À partir du moment où on saisissait à nouveau la Cour de justice, les mêmes causes produisant les mêmes effets, normalement la CJUE devait juger dans le même sens.

Théoriquement, les entreprises ne peuvent plus s’appuyer sur le Privacy Shield, mais que peuvent-elles faire maintenant avec les fameuses clauses contractuelles types ?

Ces clauses sont finalement l’objet d’un contrat entre deux personnes. On demande à l’importateur de données de garantir que les lois de son pays et que la protection donnée aux citoyens européens est équivalente à celle des Européens.

Or, ce contrat entre deux personnes n’est absolument pas opposable bien évidemment aux États. Dans les pays hors UE ne bénéficiant pas d’une décision d’adéquation, les importateurs de données doivent garantir qu’ils offrent deux choses : le respect des droits fondamentaux (droit d’accès, droit d’opposition, etc.) et la possibilité d’un recours en justice.

Une mesure que doivent vérifier également les autorités de contrôle, telle que la CNIL en France, dès lors qu’elles opèrent un contrôle sur les flux transfrontières. Elles doivent aller au-delà des clauses signées, et voir s’il y a dans le pays importateur suffisamment de garanties.

La Commission n’avait pas mesuré à leur juste hauteur l’ampleur des lois de surveillances… Comment une entreprise qui ne dispose pas toujours de connaissances équivalentes pourra apporter de telles garanties ?

C’est bien la problématique qui se pose aux entreprises exportatrices de données. Si elles se fondent sur les clauses contractuelles types, la CJUE dit clairement qu’il faut aller au-delà et examiner ce qu’il se passe autour et aux alentours.

Est-ce qu’elles en ont les moyens, alors que se pose une question de coût ? Dans un premier temps, je me demande si les entreprises qui pratiquent les flux transfrontières vers les US ou d’autres pays tiers, ne vont pas se pencher vers des solutions européennes qui, sur le plan géopolitique, serait une bonne chose pour l’Union.

Actuellement, on est dans un flou et une insécurité juridique totale parce que le Comité européen de protection des données et la CNIL ont estimé que les dérogations de l’article 49 aux garanties appropriées de l’article 46 ne peuvent pas fonctionner pour des transferts qui seraient fréquents.

Dans l’article 49, des dérogations viennent dire que lorsqu’un contrat existe, dans l’intérêt de la personne concernée, le citoyen, on peut estimer qu’il y a une possibilité de transfert. Or, si on reprend les applications habituelles de Google et Facebook, que pas mal de sociétés françaises utilisent parce qu’elles sont à la pointe et moins cher, ce n’est pas occasionnel, mais hyper fréquent !

Dans le cadre de l’AFCDP, on demande une position de la CNIL qui aille au-delà des principes d’interprétation de l’arrêt et qui vienne dire de façon très concrète voilà comment faire pour être dans les clous.

Sachant que la doctrine de la CNIL pourrait ne pas être partagée par la justice, si jamais elle était à nouveau saisie…

Il pourrait y avoir des tas de Schrems qui montent au créneau, pourquoi pas. Lui est particulièrement pugnace, mais on pourrait effectivement penser à d’autres citoyens qui veuillent arriver au même résultat soit pour d’autres pays, soit pour d’autres types de transfert.

Quelles recommandations feriez-vous à une entreprise européenne souhaitant faire du transfert vers les États-Unis ?

Il y a une législation californienne qui est protectrice et ressemble au RGPD, mais on revient toujours à la même situation si la NSA ou le FBI a la possibilité, nonobstant cette disposition légale, de recueillir des données de citoyens européens.

Ceci étant, il faut une première analyse de faisabilité. Est-on en mesure ou pas de dire que dans ce pays, il y a une législation suffisante d’une part de respect des droits fondamentaux et des possibilités de recours ? D’autre part, n’y a-t-il pas ingérence des États ? Ceci dit, l’ingérence des États, on ne la connaît pas tout le temps. Il y a des textes qui l’instituent, et il y a tout ce que font les États et qu’on ne connait pas. C’est un travail de Titan !

Le conseil pratique serait aussi de faire des clauses contractuelles améliorées, c’est un pis-aller. Et de se réfugier peut-être derrière une analyse a minima de la législation du pays et des droits fondamentaux tels qu’ils sont prévus notamment par la Charte de l’UE à son article 8.

Est-ce que la Cour a voulu créer un vide juridique total ? Je ne pense pas qu’elle ait voulu aller jusque-là et dire qu’il n’y aura plus de transfert vers des pays non adéquats. Ce ne serait plus respecter le RGPD qui prévoit les clauses contractuelles types. Donc il faut aller plus loin dans les investigations et que la CNIL et le Comité aillent eux-mêmes plus loin dans la reconnaissance des mesures d’adéquation.

Un contrat ne peut s’opposer à une loi sécuritaire, d’ordre public. Quand un responsable de traitement se retrouve confronté à de telles dispositions, le meilleur conseil à lui donner n’est-il pas de trouver un autre pays ou de rester en UE ?

Oui, contracter avec des entreprises européennes est la meilleure des garanties. Cela nécessite quand même parfois un investissement important en termes d’applications et de solutions à trouver. Cela ne se fait pas du jour au lendemain pour les organismes importants.

Ce qu’on peut conseiller : préparer le chemin vers un retour UE de leurs données et s’il y a contrôle, présenter les clauses contractuelles types améliorées, montrer qu’on a fait un minimum d’investigations sur la législation du pays tout en étudiant des solutions pour l’Europe. Toutes ces mesures pourraient n’être qu’un pis-aller, pas une garantie de sécurité absolue, je suis bien d’accord avec vous.