Un accord de principe voit le jour entre les États-Unis et l’Union européenne concernant le transfert des données à caractère personnel outre-Atlantique. Il a été rendu nécessaire après l’invalidation de Privacy Shield en juillet 2020 par la Cour de Justice de l’UE (CJUE). Tour d'horizon des enjeux et retour sur les épisodes de cette série à rebondissements.
Ce futur accord, qui ne porte pas encore de nom, est censé permettre aux Européens d’avoir le contrôle sur leur vie privée par une véritable protection des données, sans pour autant avoir à sacrifier les entreprises, dont les réseaux sociaux américains. Meta avait ainsi été jusqu’à menacer de couper Facebook et Instagram face aux problématiques liées à la protection des données.
Si la nouvelle semble heureuse pour les deux champs, la prudence s'impose, déjà au regard du bon bout de chemin à parcourir.
Retour vers la base juridique de flux des données
La directive 95/46/CE sur la protection des données personnelles a voulu à la fois libéraliser le flux des données personnelles tout en garantissant leur protection. Dans cette quête d'équilibre entre intérêts économiques et droits et libertés individuels, le texte prévoyait l'encadrement des transferts de cette matière première vers les pays tiers. Il exigeait en substance du pays tiers à l'UE, une protection des données d'un niveau équivalent à celui attendu en Europe.
La Commission européenne s'était alors vue confier la responsabilité de constater qu'un pays tiers assure ce niveau de protection adéquat, à charge de mener des négociations en vue de remédier à la constatation d’un niveau de protection non adéquat.
Cette directive a été remplacée par le règlement de 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Le fameux RGPD a mis à jour les garanties en vigueur, face à l’ampleur croissante de flux et des risques concomitants. Ce règlement a une vocation extraterritoriale : il s’applique à toutes les entreprises, peu importe leur localisation, qui traitent des données de personnes en Europe.
Le Safe Harbor, touché-coulé par la justice européenne
En vertu des compétences reconnues par la directive de 95, la Commission avait entamé les négociations avec le Département de commerce américain. Le fruit de ces négociations ? La décision 2000/520 de juillet 2000 dite « Safe Harbor ».
Un programme d’autorégulation qui a permis aux entreprises américaines de butiner les données personnelles des Européens en toute légalité. Par cette certification, les entreprises s'obligent juridiquement à mettre en place une protection comparable à celle exigée en droit européen.
Les révélations d’Edward Snowden en 2013 ont changé la donne. L’ampleur des programmes de surveillance américains, en particulier ceux de la National Security Agency (NSA), a contrasté avec ce sceau de confiance.
Sans surprise, la Cour de justice de l’Union européenne (CJUE) a, dans l'affaire Maximillian Schrems contre Data Protection Commissioner de 6 octobre 2015, invalidé le « Safe Harbor » (appelé aussi « sphère de sécurité »).
Dans cette importante décision, la Cour a estimé en effet que « le régime américain de la sphère de sécurité rend [...] possible des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes, la décision de la Commission ne faisant état ni de l’existence, aux États-Unis, de règles destinées à limiter ces éventuelles ingérences ni de l’existence d’une protection juridique efficace contre ces ingérences ».
Avec ce coup de feu dans le ciel européen, il n’était désormais plus possible de se baser sur le Safe Harbor pour transférer légalement des données personnelles outre-Atlantique. Le Groupe de travail de l’article 29, qui regroupe l’ensemble des autorités de protection de l’UE, accordait un délai jusqu’à fin janvier 2016 à la Commission européenne pour conclure un nouvel accord avec les États-Unis, respectueux de l’arrêt Schrems.
L'invalidation du Privacy Shield, nouvelle défaite de la Commission
Après un peu plus d’un an de négociations, la Commission européenne et les États-Unis promirent de tirer les leçons de l’échec de Safe Harbor. La décision de la Commission 2016/1250 de 12 juillet 2016 remplace ainsi l’accord invalidé. C'est l'avènement du Privacy Shield (ou bouclier de protection des données).
Les vannes étaient donc rouvertes, les États-Unis s'engageant à une protection « adéquate » des données avec une Commission convaincue de la solidité des garanties, malgré les inquiétudes de Contrôleur européen de la protection des données, Giovanni Buttarelli.
Dans un avis le 30 mai 2016, celui-ci estimait en effet que « la proposition du Privacy Shield est un pas dans la bonne direction, mais ne prend pas suffisamment en compte, dans sa rédaction actuelle, de notre point de vue, toutes les garanties appropriées pour protéger le droit européen des individus à la vie privée et à la protection des données notamment en ce qui concerne le recours juridictionnel. Des améliorations significatives sont nécessaires dans l'hypothèse où la Commission européenne souhaiterait adopter cette décision d'adéquation ».
Sans surprise, Maximillian Schrems a donc frappé à la porte de la CJUE pour remettre en cause ce dispositif. Cette fois-ci deux piliers furent jugés par la Cour. L’un concerne la décision d’adéquation, et donc le Privacy Shield, l’autre, les clauses contractuelles types (CCT) mécanisme alternatif permettant aux entreprises américaines d’aspirer les données des Européens, même en l’absence d’une décision d’adéquation.
Par son arrêt de 16 juillet 2020, la Cour a estimé que l’examen des CCT, au regard de la charte des droits fondamentaux de l’Union européenne ne révélait aucun élément de nature à affecter leur validité. En revanche, elle invalida le Privacy Shield. Si tous les États se livrent à des pratiques de surveillance notamment quand les intérêts nationaux ou la sécurité nationale sont en jeu, ce sont à la fois le manque d’encadrement du renseignement américain et l’insuffisance des garanties accordées aux individus qui ont pesé.
- La NSA ingère la totalité des appels téléphoniques d'un pays
- Upstream, l'outil de la NSA pour puiser dans les infrastructures réseau
- PRISM, le filet géant des États-Unis pour la surveillance du web
Depuis l’invalidation de Privacy Shield
La fin de vie de Privacy Shield n’a pas entraîné la fin des flux transatlantiques, le RGPD prévoyant plusieurs exceptions autorisant encore et toujours des transferts de données.
Ainsi, comme la CJUE a reconnu la validité des clauses contractuelles types, celles-ci peuvent servir de base juridique, sachant néanmoins qu’il revient, commentait Me Martine Ricouart-Maillet, « à l’importateur de données de garantir que les lois de son pays et que la protection donnée aux citoyens européens est équivalente à celle des Européens ».
Les flux se sont donc poursuivis mais sous le règne d’une grande incertitude juridique.
Un accord présenté comme solide...
Le 25 mars dernier, un accord de principe a donc été trouvé pour remplacer une décision d’adéquation une nouvelle fois invalidée. L’eurodéputé Andreas Schwab (Parti Populaire européen) s’est réjoui de cette nouvelle sur son compte Twitter.
La Commission de son côté a une nouvelle fois promis « un ensemble de règles et de garanties contraignantes pour limiter l'accès aux données par les autorités américaines chargées du renseignement à ce qui est nécessaire et proportionné pour protéger la sécurité nationale ».
De plus, elle annonce « un nouveau système de recours à deux niveaux pour enquêter et résoudre les plaintes des Européens sur l'accès aux données par les services de renseignement américains, qui comprend une Cour de révision de la protection des données ».
Si le système d’autocertification semble être préféré, « des obligations strictes pour les entreprises traitant des données transférées depuis l'UE et des mécanismes spécifiques de suivi et de prévision » seront au rendez-vous, assure-t-elle, avant de présenter une série d’avantages :
- Une « protection adéquate des données des Européens transférées aux États-Unis, en réponse à l'arrêt de la Cour de justice des Communautés européennes »
- Des « flux de données sûrs et sécurisés »
- Une base juridique « durable et fiable »
- Une économie numérique « compétitive »
- Des flux de données continus, avec un enjeu de 900 milliards d'euros de commerce transfrontalier chaque année
Comme un miroir, ces promesses se retrouvent dans un communiqué de la Maison-Blanche. Les États-Unis s’engagent politiquement à ce que :
- « La collecte de renseignements [...] ne peut être entreprise que si elle est nécessaire à la réalisation d'objectifs légitimes de sécurité nationale, et ne doit pas avoir un impact disproportionné sur la protection de la vie privée et des libertés civiles des individus »
- « Les citoyens de l'UE peuvent demander réparation avec un nouveau mécanisme de recours à plusieurs niveaux comprenant un tribunal indépendant [...], composé de personnes choisies en dehors du gouvernement américain, qui aurait toute autorité pour statuer sur les demandes et ordonner des mesures correctives, le cas échéant ».
- « Les agences de renseignement américaines adopteront des procédures pour garantir une surveillance efficace des nouvelles normes en matière de vie privée et de libertés civiles »
Lors de la conférence de presse du 30 mars, Didier Reynders, commissaire européen responsable de la justice, a rappelé qu’il avait lancé les discussions sur « le bouclier de la vie privée » avec les États-Unis en décembre 2019, soit avant même l’arrêt de la Cour de justice. Il avance « d’importants progrès » et « des améliorations significatives » non sans promettre le « meilleur accord possible » afin de « s’assurer d’un strict respect des exigences » de la Cour de Justice.
Au-delà des mots, il faudra néanmoins attendre la traduction juridique de ces engagements politiques, notamment par un décret signé par le Président Joe Biden, avant de lancer la procédure d’adéquation. Une telle procédure européenne « peut aller jusqu’à 6 mois » selon Didier Reynders, exigeant notamment l’avis de l’ensemble des autorités de protection des données, du Comité ou encore du Parlement européen. Sans donner une date exacte, il espère une finalisation avant la fin de l’année.
… ou le chemin vers un Schrems III ?
Les engagements convenus entre négociateurs européens et américains visent principalement à répondre aux exigences de la CJUE , à savoir : un encadrement des activités de renseignement guidé par le principe de nécessité et de proportionnalité ainsi que la création d’un tribunal indépendant du gouvernement afin d'assurer une protection effective de la vie privée des citoyens européens.
La viabilité juridique des engagements américains reste posée. Il s’agit notamment de savoir, si dans l’impossibilité d’adopter au Congrès une loi instaurant un tribunal indépendant, un décret présidentiel instaurant une autorité indépendante de contrôle administrative pourra être fonctionnel au sens des exigences de la CJUE. Selon le professeur de droit Théodore Christakis, qui a imaginé des pistes fonctionnelles, le scénario serait parfaitement envisageable.
Maximilien Schrems reste pour sa part prudent face aux seules déclarations politiques. L’association noyb, fondée par Schrems, « espère pouvoir faire remonter à la CJUE, en quelques mois, tout nouvel accord qui ne répondrait pas aux exigences du droit communautaire ».
Pour Romain Robert, membre d’association noyb, contacté par Next INpact, les éléments clés dont devrait se munir le futur accord pour éviter un arrêt Schrems III seraient des « recours judiciaires pour les résidents européens et [un] arrêt de la collecte et traitement systématique des données en masse ».
Commentaires (20)
#1
C’est le premier article d’Ilda, qui fait un stage dans notre rédaction durant deux mois.
On sort les chips, cacahuètes et boissons, les gens !
#2
Bienvenue Ilda, et merci pour le papier.
#3
Vu le passif des USA sur ce dossier, on a le droit d’être extrêmement méfiant:
Avant Snowden, les USA et notamment leur représentants au congrès ne savaient pas que la NSA et consort espionnaient tous les citoyens américains sans distinction (ce qui est illégal).
Alors, l’importance de la vie privée des européens pour le législateurs US; on a droit d’être septique.
De plus aux USA, les données personnelles sont considérées comme la propriété de l’entreprise qui les a collecté, et sous le contrôle de la FTC, alors qu’en EU c’est la propriété du citoyens qui a un droit de regard sur ce que collecte l’entreprise et il y a des organismes de contrôle idoine comme la CNIL.
Dis autrement,il y a une différence notable de philosophie.
#4
Mais lorsque la cour a présenté son avis, la commission n’a pas fait de déclaration sur un nouveau cycle de négociations. Bizarre!
Et tout un coup, on sort cet accord sans coup frémir. Accord qui attend des décisions côté US. Ce n’est donc pas un accord.
On ne m’enlèvera pas de l’esprit que l’Ireland sous la pression des GAFAM, Méta en tête a du jouer des pieds et des mains, surtout que les instances irlandaises sont un peu dépassé par le TGPD…
#5
Bienvenue @Ilda_Sehitaj :)
Merci pour cet article.
Cela va t-il changer les choses à propos de Google Analytics et de la CNIL ?
#6
Un accord présenté comme solide…
Sans modification de la législation coté US ça ne changera rien
#7
Sachant que quelques jours plus tôt on pouvait lire des trucs comme ça : https://thehill.com/opinion/judiciary/598899-the-supreme-court-just-made-a-us-eu-privacy-shield-agreement-even-harder/
Je vois pas trop comment ce nouvel accord ne va pas être torpillé comme les autres.
#7.1
Merci pour ce lien !
#8
#9
Les apéros en visio, c’est quand même moins marrant. Mais bienvenue Ilda !
Et sinon il aura un petit nom marrant, le TADPF (Trans-Atlantic Data Privacy Framework), genre Safe Harbor/Privacy Shield : Data Shell ? Sinking Armor ? On lance un concours ?
#10
DEDAL : Dramatic Europeans’ Data American Leveraging
#11
Ce retour en arrière est désespérant, surtout que le contexte donne vraiment l’impression d’un “Vous voulez de l’énergie et un bouclier, alors donnez vos données et laissez nous gérer la crise”.
C’est humiliant pour nos pays. Maintenant heureusement qu’il existe des recours, j’espère bien voir un Schrems III
#12
Bievenue Ilda, j’en ai profité pour me réabonner afin de lire ton article.
#13
Bienvenue Ilda, très bon article.
#14
Total Information Trans Atlantic New Informal Concord ?
#14.1
Information Contract Exchange Board for European Rules Greenwhasing
(Greenwhasing, c’est qu’il faut bien mettre un côté écolo quand même
)
Et bienvenue Ilda :)
#15
Bienvenue Ilda.
Article fouillé sans être trop long.
#16
On résume en 4 phrases :
#17
J’ai du mal à voir le besoin d’un accord, le RGPD est très clair sur ce sujet : il faut au moins son niveau de protection.
Il suffit d’imposer le RGPD aux États-Unis, c’est assez simple non ? S’il ne veulent pas, ils se privent de 500 millions d’internautes clients potentiels. “Final period” comme ils disent. :)
On invalide ces traités le mois suivant Google / Microsoft / Amazon / Apple ouvrent une branche 100% européenne et indépendante pour ne pas se priver de notre marché. Il me semble que tout est prêt techniquement : l’hébergement est déjà localisé pour des raisons de perf, il y’a déjà probablement toutes les équipes en doublon en Europe (déjà simplement pour des questions de fuseaux horaires), et c’est déjà +/- ce qui est fait avec certain pays moins démocratiques.
Même les GAFA sont gagnants, je rappelle qu’ils sont tous dans le viseur des comités antitrust américain, il a souvent été évoqué une scission forcée. Ces GAFA se forgeraient une image vertueuse à le faire de leur propre chef…
#18
Bravo Ilda, merci pour cet article : impatient de lire le prochain :)
A.