Retour sur l'invalidation du Privacy Shield par la justice européenne

Retour sur l’invalidation du Privacy Shield par la justice européenne

Tout, sauf un bouclier

Avatar de l'auteur
Marc Rees

Publié dans

Droit

22/07/2020 27 minutes
43

Retour sur l'invalidation du Privacy Shield par la justice européenne

C’est un nouveau coup de tonnerre qui a résonné dans le ciel européen ce 16 juillet. Un arrêt de la grande chambre de la Cour de justice de l’Union européenne est venu invalider le « bouclier de vie privée » ou Privacy Shield. Un bouclier de fer qui n’était que de papier. Retour sur cette décision fondamentale.

La date du 6 octobre 2015 avait déjà donné le ton. Ce jour, la même juridiction mettait à terre le Safe Harbor. L’accord avait été porté par la Commission européenne 15 ans plus tôt, en 2000, aux premiers pas de la généralisation de l'accès au Net dans les foyers.

Avec ce « Port sûr » estampillé sur le drapeau étoilé, les États-Unis se voyaient pourtant considérés comme aussi protecteurs qu’un État membre européen. Ce label de confiance de la Commission assurait une présomption de légalité dont de nombreux géants US ont pu profiter lors de l’explosion des services en ligne installés en Californie.

Certes d’autres véhicules juridiques étaient mobilisables, comme les clauses contractuelles types ou les Binding Corporate Rules (BCR), des codes de conduite interne aux entreprises… Le Safe Harbor toutefois n’en constituait pas moins la voie royale pour les pipelines de données personnelles.

La fameuse sphère de confiance avait toutefois été laissée intacte alors que les révélations Snowden s’abattaient sur les écrans dans les années 2010. Largement responsable de ce laisser-aller, l’institution bruxelloise n’en tirait aucune conséquence, aucune remise en cause. Une passivité fautive, et plus encore puisque le texte souffrait de vices de conception passés sous son nez au moment de la signature originelle : il offrait un trop vaste accès aux autorités publiques américaines, soit autant d’ingérences dans la vie privée de millions de personnes, pour des motifs flous et trop généreux.

Le 6 octobre 2015, dans une procédure initiée par un petit Poucet du numérique, Maximilien Schrems, la CJUE dressait une liste ahurissante des failles du Safe Harbor, avant d’asséner son coup d’épée fatal : l’invalidation de l’accord de 2000. Ou comment l’étudiant autrichien abattait le géant Safe Harbor, obligeant Bruxelles à un « reboot » juridique.

Le Privacy Shield, un bouclier de fer, un bouclier de papier

Ce reboot, c’est le Privacy Shield. Nouveau nom, nouveau marketing, nouvelle « marque » concoctée savamment. La Commission pouvait se glorifier, torse gonflé, d’une belle avancée. Promis, avec ce bouclier, flux et stocks de données personnelles allaient enfin être dignement protégés, malgré l’appétit des services de sécurité US.

Le texte était dévoilé en février 2016. « Les autorités américaines ont donné des assurances formelles que le "bouclier de protection des données " serait appliqué de façon rigoureuse, et que les services nationaux de sécurité ne se livraient à aucune surveillance de masse », s’enchantait la Commission européenne.

En juillet 2016, il était finalisé, prêt à être appliqué. « Nous avons travaillé très dur avec nos partenaires américains » poursuivait Bruxelles avant d’affirmer que ce bouclier « comprend des obligations plus contraignantes » et qu’il sera « appliqué plus rigoureusement par les États-Unis ». Par exemple, « tout accès aux données par les autorités américaines sera limité au strict nécessaire et sur la base des réformes portant sur le renseignement annoncées par Barack Obama ». Au menu, promesses de mises à jour régulières, de réexamen, des collectes ciblées, presque chirurgicales, un droit au recours pour les citoyens européens… N’en jetez plus !

Dans d’autres camps, le doute s’est cependant rapidement installé. Maximilien Schrems ou la Quadrature du Net n’ont pas tardé à exprimer des critiques sur la composition de ce bouclier, fait plutôt de tendre plomb que d’inflexible acier.

En avril 2017, mêmes remarques de la part d’eurodéputés, inquiets des nouvelles lois américaines permettant « à la NSA, depuis janvier 2017, de partager avec 16 autres agences, dont le FBI, de grandes quantités de données personnelles collectées sans mandat ni décision de justice ou autorisation du Congrès ». Ces eurodéputés ne se sont pas privés pour épingler le « manque d’indépendance » du médiateur prévu par le Privacy Shield, outre le caractère illusoire du droit au recours des Européens . 

La même année, en décembre, les « CNIL » européennes réunies autour du Groupe de l’Article 29 publiaient leur rapport conjoint, égrenant de nombreux points de rouille sur ce même bouclier avec, toujours en tête des inquiétudes, l’accès aux données aux fins de sécurité nationale.  La réactivation de la section 702 de la loi sur la surveillance et le renseignement étranger (loi FISA) légitimaient ces craintes, sans compter l’Executive Order 12333, une directive présidentielle autorisant les agences de renseignement à opérer au-delà des frontières, hors des cadres habituels.

En juillet 2018, le Parlement européen remettait le couvert, alors que Cambridge Analytica révélait ses ombres via les données aspirées par l’ogre Facebook.

La France de Macron au chevet du Privacy Shield

Au même moment, en France, le gouvernement avait opté pour un autre cap, assurant dans un dossier soulevé par la Quadrature du Net, FDN et FFDN, que le Privacy Shield était particulièrement satisfaisant. Pour l’exécutif français, la décision d’adéquation de la Commission offre désormais un niveau satisfaisant pour encadrer aux États-Unis l’accès et l’utilisation « des données à caractère personnel […] à des fins de sécurité nationale, de respect de la loi ou d'intérêt public », mais aussi garantir « l'existence des voies de droit ».

Une position à mille lieues du programme présidentiel d’Emmanuel Macron, qui promettait pourtant une renégociation du texte « afin de garantir la préservation des données personnelles de tous les Européens ». 

C’est donc dans ce contexte contrasté qu’est née l’affaire dite Schrems 2, dont l’épilogue fatal s’est déroulé la semaine dernière.

Quand un utilisateur souhaite couper le robinet Facebook

Rembobinons les faits. En 2013, l'Autrichien Max Schrems, alors étudiant, s’était abrité derrière son statut d’utilisateur de Facebook pour saisir la CNIL irlandaise. Il réclamait devant l’autorité indépendante une injonction interdisant au réseau social de transférer ses données outre-Atlantique.

Le Data Protection Commissioner rejeta sa demande, en s’abritant derrière l’écran du Safe Harbor : puisque ce texte avait été validé par la Commission, celui-ci était nécessairement valide.

Schrems poursuivit sa bataille devant la High Court irlandaise, qui renvoya la balle devant la CJUE où le document fut donc invalidé. C’est l’arrêt Schrems 1, annulant le Safe Harbor. Ces points de droit désormais jugés, l’affaire est revenue devant les juridictions internes où Schrems a été invité à mieux reformuler sa plainte. Ce qui fut fait le 1er décembre 2015. Il ajusta le tir, visant cette fois les clauses contractuelles types (CCT) utilisées par Facebook, à savoir des modèles de contrats de transfert de données personnelles adoptés eux-aussi par la Commission européenne.

Il réclama encore et toujours la fermeture du robinet vers Facebook Inc., au motif « que le droit américain impose à Facebook inc. de mettre les données à caractère personnel qui lui sont transférées à la disposition des autorités américaines, telles que la National Security Agency (NSA) et le Federal Bureau of Investigation (FBI) » (extrait de l'arrêt de la CJUE). Des données un peu trop butinées à son goût par les programmes de surveillance américains, aux antipodes des principes ciselés par la Charte des droits fondamentaux de l’Union européenne.

Le 24 mai 2016, le Commissaire irlandais publie un projet de décision. Selon le résumé de la CJUE, « il a considéré provisoirement que les données à caractère personnel des citoyens de l’Union transférées vers les États-Unis risquent d’être consultées et traitées par les autorités américaines d’une manière incompatible » avec la Charte. Il dénonce la faible solidité de voies de recours, théoriquement reconnues aux Européens. Il relève encore que les fameuses clauses contractuelles types n’engagent finalement que les parties au contrat (Facebook et les utilisateurs), mais non les autorités américaines.

Et c’est dans ce contexte que le commissaire a saisi la High Court.

Prism, UpStream et l’Executif Order 12333

Le 3 octobre 2017, la juridiction irlandaise saisit une nouvelle fois son homologue européen. Dans les documents annexés, elle se penche sur l’article 702 du FISA, qui « permet au procureur général et au directeur du renseignement national d’autoriser conjointement (…) aux fins de se procurer des "informations en matière de renseignement extérieur", la surveillance de ressortissants non américains se trouvant en dehors du territoire des États-Unis et sert, notamment, de fondement aux programmes de surveillance Prism et Upstream ». Deux programmes dénoncés par Snowden.

Avec Prism, les fournisseurs de services Internet doivent fournir à la NSA « toutes les communications envoyées et reçues par un "sélecteur", une partie d’entre elles étant également transmise au FBI et à la Central Intelligence Agency (CIA) (agence centrale de renseignement) ».

Avec UpStream, « les entreprises de télécommunications exploitant la « dorsale » de l’internet – c’est-à-dire le réseau de câbles, commutateurs et routeurs – sont contraintes de permettre à la NSA de copier et de filtrer les flux de trafic Internet afin de recueillir des communications envoyées par ou reçues par ou concernant le ressortissant non américain visé par un "sélecteur" ». Une exploitation qui concerne aussi bien les contenus que les métadonnées des échanges.

La juridiction irlandaise fournit également des éléments sur l’Executif Order 12333. Toujours selon le résumé fait par la CJUE, il « permet à la NSA d’accéder à des données "en transit" vers les États-Unis, en accédant aux câbles sous-marins posés sur le plancher de l’Atlantique, ainsi que de recueillir et de conserver ces données avant qu’elles arrivent aux États-Unis et y soient soumises aux dispositions du FISA ».

La Haute Cour va jusqu’à constater que « les États-Unis procèdent à un traitement de données en masse, sans assurer une protection substantiellement équivalente à celle garantie par […] la Charte ».

Ce sombre tableau s’obscurcit lorsque la même juridiction indique que les citoyens de l’Union disposent outre-Atlantique de moins de droits que les ressortissants américains, s’agissant des recours. Pire, même les maigres recours censés leur être reconnus « se heurtent à des obstacles importants, en particulier à l’obligation – selon elle excessivement difficile à satisfaire – de justifier de leur qualité pour agir ». Et pour couronner le tout, « les activités de la NSA fondées sur l’E.O. 12333 ne font pas l’objet d’une surveillance judiciaire et ne sont pas susceptibles de recours juridictionnels ». Enfin, elle épingle le rôle du médiateur du bouclier de protection de données, lequel « ne constitue pas un tribunal ».

Évidemment, Facebook a tenté le tout pour le tout pour éviter que la procédure Schrems 2 n’aille trop loin. Elle a argué que la décision d’adéquation (le Privacy Shield) liait les autorités nationales. Le réseau si social a même tenté de faire tomber l’édifice de cette procédure en soulignant qu’elle était fondée sur l’ancêtre du RGPD, la directive 95/46 depuis lors abrogée.

Saisie d’un flot de questions préjudicielles, la Cour a balayé ces questions de recevabilité, principalement parce que la demande lui est parvenue alors que la directive antérieure était toujours en vigueur, mais aussi parce que le règlement a repris les articles en cause. Et accessoirement, parce que la CJUE est chargée d’interpréter le droit de l’Union « même si ces dispositions ne sont pas indiquées expressément dans les questions qui lui sont adressées par ces juridictions ».

Ce qui explique pourquoi sa (très) longue décision est architecturée sur le seul règlement sur la protection des données personnelles.

De l’application du RGPD aux transferts hors UE

La première question posée est simple. Il s’agit de savoir si le RGPD s’applique aux transferts de données personnelles effectués par un opérateur économique établi en Europe (ici Facebook en Irlande) vers un autre opérateur économique établi dans un pays tiers (Facebook Inc aux États-Unis), lorsque ces informations « sont susceptibles d’être traitées par les autorités de ce pays tiers à des fins de sécurité publique, de défense et de sûreté de l’État ».

Dans son analyse, la CJUE va déconstruire ces différentes étapes. Un transfert est juridiquement un traitement, notion très largement définie par le règlement. Et les données ici en jeu sont bien « personnelles ».

Sans mal, elle en déduit la pleine application du RGPD. Ce n’est pas parce que des données transférées à des fins commerciales entre Facebook Irlande et Facebook Inc. sont susceptibles d’être alpaguées par les services du renseignement américain que le règlement ne s’applique pas. Le texte du 25 mai est donc bien en vigueur à leur égard. Logique implacable.

La question des clauses contractuelles types

Autre problématique à percer : quel est le niveau de protection à prendre en considération lorsque des données sont transférées sur les clauses contractuelles types ? Facebook utilise en effet ce véhicule pour drainer les milliards de données d’Europe vers les États-Unis.

Le doigt sur chaque ligne du RGPD, la Cour retient qu’un pays tiers à l’Europe doit assurer « un niveau de protection des libertés et des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu dudit règlement, lu à la lumière de la Charte ».

Même s’il n’y pas de décision d’adéquation prise par la Commission européenne, l’entité concernée par ces échanges – le responsable de traitement ou le sous-traitant – doit « compenser l’insuffisance de la protection des données dans le pays tiers » pour « assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union ». Au besoin en ajoutant des dispositions solides dans ses conditions générales.

Et pour évaluer ce niveau requis, la Cour indique qu’il faut prendre en considération le contrat en vigueur, mais aussi l’ « éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel transférées » outre « les éléments pertinents du système juridique de celui-ci ». En somme, le responsable de traitement doit se livrer à une étude approfondie pour déterminer s’il peut envoyer son pétrole numérique ici plutôt que là, avec toute l’incertitude juridique qui pèse sur une mauvaise décision.

Ceci posé, la question des conséquences débouche inévitablement. Est-ce qu’une autorité de contrôle, ici le Commissaire irlandais, est tenu de suspendre les transferts de données fondés sur les clauses types de protection adoptées par la Commission, quand cette autorité constate qu’elles « ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union (…) ne peut pas être assurée, ou en ce sens que l’exercice de ces pouvoirs est limité à des hypothèses exceptionnelles » ?

Oui, répond la Cour, en nuançant. La situation diffère en effet lorsque le pays de destination bénéficie d’une décision d’adéquation. C’est effectivement le cas ici avec le Privacy Shield dont profitent les États-Unis. Cette fois, tant que cette décision n’a pas elle-même été déclarée invalide, elle s’impose aux États membres et à leurs autorités de contrôle. En conséquence, conclut la CJUE, ceux-ci « ne sauraient adopter des mesures contraires à cette décision, telles que des actes visant (…) à suspendre ou interdire des transferts de données à caractère personnel vers ce pays tiers ».

Mais… la décision d’adéquation n’est pas un écran de béton. Un particulier doit toujours pouvoir saisir une autorité de contrôle et celle-ci introduire un recours devant les autorités nationales et au-delà devant la CJUE si tous doutent de la validité de l’acte européen.

Validation de la décision relative aux clauses contractuelles types de 2010

La Cour a évidemment appelé à mettre son nez dans la décision de 2010, prise par la Commission. C’est elle qui sert de fondement aux clauses contractuelles types (CCT), d’ailleurs énumérées dans ses annexes .

Ces clauses lient les parties afin d’assurer un haut niveau de protection dans les flux de données. Cependant elles ne lient pas les autorités nationales, comme la NSA. Cette lacune est-elle suffisamment importante pour faire tomber cet édifice ? La Cour de justice de l’Union européenne répète que non, d’autant que les CCT doivent être utilement complétées par les parties au contrat lorsque le climat national place les données à risque.

Dans la poursuite de son analyse, elle détaille les lignes du texte de 2010. Ainsi il est nécessaire de disposer de « mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer ».

Dans le même fil, une société installée dans un pays tiers doit informer dans les meilleurs délais le responsable de traitement lorsqu’elle se retrouve dans l’incapacité de se conformer aux obligations du contrat, par exemple si la législation nationale subit des tours de vis sécuritaire. Ce responsable de traitement doit au besoin suspendre ces flux, là encore lorsque les droits et obligations nées du RGPD ne peuvent plus être assurés.

Après avoir détaillé l’ensemble des garanties prévues par la décision de 2010, la CJUE estime qu’il n’y a pas lieu de remettre en cause sa validité.

Son long panorama (aux paragraphes 122 à 149 de l’arrêt) est avant tout un rappel très important à l’égard des responsables de traitement et de leurs sous-traitants. S’ils optent pour les clauses contractuelles types pour adresser des camions de données vers des pays tiers à l’Union européenne, ce choix ne leur permettra jamais de se serpenter autour des contraintes « RGPDiennes ». Il exigera toujours rigueur et exemplarité sous l’œil de la justice européenne.

L’invalidation du Privacy Shield

Vient ensuite le cœur de l’arrêt : celui concernant « la décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis », à savoir le Privacy Shield.

Selon le document adoubé par la Commission européenne, « les États-Unis assurent un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies aux États-Unis dans le cadre du bouclier de protection des données ».

Comme déjà souligné, ce label s’impose aux États membres et à leurs autorités de contrôle, le Commissaire en Irlande, ou la CNIL en France par exemple. Aucune de ces dernières ne peut suspendre ou interdire un transfert de données par exemple entre Facebook Irlande et Facebook inc. Mais rien n’interdit à un particulier d’adresser une réclamation, et en bout de course à la CJUE de déterminer sur la décision d’adéquation, le Privacy Shield, est conforme au RGPD lu sous la lorgnette de la Charte des droits fondamentaux.

Ce qu’a fait la Cour de justice de l’Union européenne dans son arrêt Schrems 2.

La CJUE n’a eu aucune difficulté à déceler de nouveaux bugs originels, à l’instar de ceux qu’elle avait constatés dans sa décision invalidant le Safe Harbor. Et pour cause. La décision sur le bouclier de protection des données rend « possibles des ingérences fondées sur des exigences relatives à la sécurité nationale et à l’intérêt public ou sur la législation interne des États-Unis dans les droits fondamentaux des personnes dont les données à caractère personnel sont ou pourraient être transférées depuis l’Union vers les États-Unis ».

Le texte prévoit en effet une exception liée aux « exigences relatives à la sécurité nationale, [à] l’intérêt public et [au] respect de la législation » américaine, certes limitée au « strictement nécessaire ». En somme une primauté de la NSA, de la CIA et autres agences nationales sur les droits fondamentaux des Européens. « Plus particulièrement (…) de telles ingérences peuvent résulter de l’accès aux données à caractère personnel transférées depuis l’Union vers les États-Unis et de l’utilisation de ces données par les autorités publiques américaines, dans le cadre des programmes de surveillance Prism et UpStream fondés sur l’article 702 du FISA, ainsi que sur le fondement de l’E.O. 12333 ».

En amont de la CJUE, la haute cour irlandaise a considéré « que le droit de ce pays tiers ne prévoit pas les limitations et les garanties nécessaires à l’égard des ingérences autorisées par sa réglementation nationale et n’assure pas non plus une protection juridictionnelle effective contre de telles ingérences ». Elle ajoute que le médiateur, instauré par le Privacy Shield ne constitue pas davantage un tribunal, faute de garantie d’indépendance suffisante.

La Cour a encore une fois rappelé les principes en vigueur. Des ingérences par les autorités peuvent être envisagées mais ces limitations à l’exercice des droits et des libertés reconnus doivent être prévues par la loi et respecter le contenu essentiel desdits droits et libertés. Elles doivent aussi obéir à un principe de proportionnalité et donc être « nécessaires » et répondre effectivement à des « objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et des libertés d’autrui ». En sommes, des coups de canifs peuvent être apportés aux droits fondamentaux des Européens, mais en étant limités, prévus, encadrés strictement.

Le Privacy Shield, victime des programmes de surveillance américains

Voilà pour la théorie. Restait à la confronter aux programmes de surveillance américains, fondés sur l’article 702 du Foreign Intelligence Surveillance Act (FISA) et de l’executive ordrer 12333.

Outre-Atlantique, les textes prévoient bien l’intervention du tribunal de la surveillance du renseignement extérieur (ou FISC, pour Foreign Intelligence Surveillance Court), toutefois elle se limite à « vérifier si ces programmes de surveillance correspondent à l’objectif d’obtenir des informations en matière de renseignement extérieur », pas à savoir « si les personnes sont correctement ciblées pour se procurer des informations en matière de renseignement extérieur ».

Ces dispositifs concoctés par le procureur général et le directeur du renseignement national ne ciblent en effet pas une personne déterminée, mais orchestrent bien un programme de surveillance extérieure.

Pas de limitations ciselées, pas de garanties pour les personnes non américaines potentiellement visées, ni même de droits opposables devant les tribunaux. Le Privacy Shield, si chèrement défendu par la Commission européenne, n’est donc « pas susceptible d’assurer un niveau de protection substantiellement équivalent à celui résultant de la Charte », contrairement à ce qu’exige le RGPD.

La Commission ne peut feindre la surprise. Les documents annexés au Privacy Schield indiquent par exemple que la directive stratégique présidentielle n°28 (Presidential Policy directive 28, ou PPD-28), sur laquelle se fondent les programmes de surveillance, permet de procéder à une « collecte “en vrac” [...] d’un volume relativement important d’informations ou de données issues du renseignement d’origine électromagnétique dans des conditions où les services de renseignement ne peuvent pas utiliser d’identifiant associé à une cible spécifique [...] pour orienter la collecte ».

Pour la Cour, « cette possibilité, qui permet, dans le cadre des programmes de surveillance fondés sur l’E.O. 12333, d’accéder à des données en transit vers les États-Unis sans que cet accès fasse l’objet d’une quelconque surveillance judiciaire, n’encadre, en tout état de cause, pas de manière suffisamment claire et précise la portée d’une telle collecte en vrac de données à caractère personnel ».

L’article 702 du FISA et l’E.O. 12333 « ne correspondent [pas] aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité, si bien qu’il n’est pas permis de considérer que les programmes de surveillance fondés sur ces dispositions sont limités au strict nécessaire ».

S’agissant du droit au recours, la Commission européenne avait bien constaté des trous dans la raquette, mais s’était satisfaite de l’institution d’un médiateur pour traiter des questions soulevées par les utilisateurs notamment.

L’avis a été autre à Luxembourg. Pour la CJUE, ce dispositif est loin d’assurer une protection équivalente à un vrai recours juridictionnel. Le médiateur doit par exemple rendre des comptes directement au gouvernement américain. De même le Privacy Shield et ses annexes ne comportent aucune indication laissant entendre qu’il « serait habilité à prendre des décisions contraignantes à l’égard de ces services et ne fait pas non plus état de garanties légales dont serait assorti cet engagement et dont pourraient se prévaloir les personnes concernées ».

Ces vices frappant le cœur du texte, par contagion celui-ci ne passe pas le test de conformité au RGPD et à la Charte. Voilà pourquoi la Cour de justice de l’Union européenne n’a pas eu d’autres choix que d’annuler l’ensemble de la décision d’adéquation. Un nouveau big bang dans le ciel européen.

Quelles sont les conséquences d’une telle décision ?

Déjà, sur le terrain politique, c’est une nouvelle gifle assénée à la Commission européenne, après l'arrêt Schrems 1. Mais c’est surtout sur le terrain juridique que les choses se corsent : les entreprises vont devoir s’appuyer sur un autre socle pour justifier ces transferts.

Le RGPD prévoit bien l’hypothèse d’une absence de décision d’adéquation en son article 49.  Des transferts ponctuels restent alors autorisés, mais seulement dans certaines conditions très particulières.

Par exemple, lorsque la personne physique « a donné son consentement explicite », « après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l'absence de décision d'adéquation et de garanties appropriées », ou encore parce que le transfert « est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ».

Toutefois, cette voie n’est qu’un régime dérogatoire, exceptionnel, ne s’appliquant pas nécessairement aux transferts beaucoup plus habituels, comme les connaissent si bien Facebook Irlande et Facebook inc.

Les entreprises peuvent aussi s’appuyer sur les clauses contractuelles types, validées par la Commission européenne et la CJUE, mais elles devront bien s’assurer que le niveau de protection en vigueur dans le pays de destination est équivalent à celui en Europe. Une problématique lourde puisque la Cour a justement souligné que les programmes de surveillance américains, dont l’amplitude et les effets avaient échappé à la Commission européenne elle-même, sont de véritables gloutons à données personnelles.

Dit autrement, comment une entreprise privée saura-t-elle mieux évaluer ce que l’exécutif bruxellois n’a pas correctement jaugé ? « Prenons, par exemple, une entreprise européenne faisant des affaires avec la Russie ou l'Inde, commente en ce sens le professeur de droit Théodore Christakis. Serait-il possible, pour une telle entreprise, de déclarer demain qu'elle ne transférera plus de données personnelles vers ces pays parce que les lois russes ou indiennes n'offrent pas une protection suffisante des droits de l'homme ? Quelles seraient les conséquences économiques et autres (y compris les représailles des États concernés) d'une telle déclaration pour cette société ? »

Mieux, les autorités de contrôle, comme la CNIL en France, se voient astreintes d’exiger la suspension si ce n’est l’arrêt des transferts lorsque ce niveau de protection requis n’atteint pas les standards européens, au besoin par des contrats aiguisés.

Dans un premier communiqué, le Comité européen de la protection des données (EDPB en anglais, pour European Data Protection Board) insiste en ce sens : « lorsque ces obligations contractuelles ne sont pas ou ne peuvent être respectées, l'exportateur est tenu (…) de suspendre le transfert ou de résilier les clauses ou de notifier à son autorité de contrôle compétente s'il a l'intention de poursuivre le transfert de données ».  

Du côté du commerce extérieur, c’est évidemment la soupe à la grimace. Wilbur Ross, secrétaire américain, se dit profondément déçu.  On comprend en lisant la remarque du professeur de droit Theodore Christakis : « plus de 5 300 entreprises utilisant le bouclier de protection des données devraient prendre des mesures pour passer à une autre base juridique pour les transferts de données vers les États-Unis ».

Pour l’avenir, les autorités vont surtout devoir trouver un nouvel accord, accompagné des correctifs nécessaires. « Lorsqu'on lit attentivement l'arrêt, souligne encore l’enseignant de l’Université de Grenoble, il ne devrait pas être impossible de traiter les principales objections de la Cour. En effet, Schrems 2 ne semble pas remettre en cause les pouvoirs de surveillance américains en tant que tels, mais plutôt le manque de garanties et de recours nécessaires en relation avec ces pouvoirs ».

En attendant, la Cour a bel et bien poursuivi dans son arrêt les objectifs attendus du RGPD : étendre les standards européens de la protection des données personnelles à l’ensemble des pays traitant des informations de ses résidents. Que ce soit par les clauses contractuelles types, les régimes dérogatoires ou les décisions d’adéquation, aucune brèche ne peut être admise dans ses valeurs puisées dans la Charte. Aux autorités de contrôle nationales et aux responsables de traitement d’en assurer maintenant le colmatage.

43

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le Privacy Shield, un bouclier de fer, un bouclier de papier

La France de Macron au chevet du Privacy Shield

Quand un utilisateur souhaite couper le robinet Facebook

Prism, UpStream et l’Executif Order 12333

De l’application du RGPD aux transferts hors UE

La question des clauses contractuelles types

Validation de la décision relative aux clauses contractuelles types de 2010

L’invalidation du Privacy Shield

Le Privacy Shield, victime des programmes de surveillance américains

Quelles sont les conséquences d’une telle décision ?

Commentaires (43)


Pas encore tout lu (manque de temps pour l’instant) mais MERCI pour cette analyse détaillée qui me rappelle mes années de droit (bon j’avoue pas forcément les meilleures années en termes de fun, mais très instructives ;)).


16 années (Safe Harbor) + 4 années (Privacy Shield) = 20 années de transferts illégaux. Conséquences : aucunes.



Moralité : bientôt un nouvel accord qui sera tout aussi illégal.


J’en ai lu la moitié pour l”instant ( je souffre et donc je souffle )

Mais je me posais une question :

Si on pondait une loi qui dit :

‘interdiction de transférer des données perso hors Europe sauf si c’est la personne elle même qui le fait”



ça mettrait combien de juristes au chomage ?



<img data-src=" />



La RGPD commence à montrer son intérêt. Comme certaines licence open source, son côté contagieux a un gros potentiel destructeur…


MERCI Marc pour cet article de qualité.


Pouvez vous lancer un sondage concernant la suppression des boutons de partage fb and co svp ?


Absolument pas l’endroit pour une telle réclamation, mais si tu t’attarde sur la configuration de ton compte tu verrais que tu as un bouton pour ça <img data-src=" />


Merci pour cet article pleins d’informations qui lui donne une réelle plus value mais le rend difficile a digérer si on a pas le temps de cerveau disponible.. 👍👍


Donc si je comprends bien, non seulement ils transfèrent les bénéfices mais aussi nos data ? Et depuis une bonne dizaine d’année ? Oh ben ça alors ! Les bras m’en tombent ! (smiley au choix)


<img data-src=" />


Merci pour cet excellent article. Votre analyse enlève ma crainte que le déport sur les lauses contractuelles types amoindrissent la protection. En effet les juges ont juste rappelé que dans ce cas là la responsabilité est alors sur le gestionnaire de données. J’imagine que certains départements juridiques doivent se demander comment se protéger de leur propre État.



Je n’avais pas souvenir que le gouvernement français avait essayé de soutenir cet accord.



Suvent il est déclaré que le RGPD est une loi extraterritorial, je ne partage pas cette analyse: le RGPD dit que si vous souhaitez vous nourrir des données d’européens vous devez accepter les contraintes réglementaires EU, comme ce que l’on fait avec les armes, l’alcool, la propriété etc …


Colonie numérique US, ils ont dit à la télé …


Merci pour ce bon article.




       Le premier paragraphe de cet article indique:           



&nbsp;“la Cour de justice de l’Union européenne est venu invalider le « bouclier de vie privée » ou Privacy Shield.” &nbsp;




  &nbsp;Alors que ce n'est pas vraiment le cas et porte à confusion, à moins d'être déjà parfaitement au courant de ce qu'est le Privacy Shield (ce qui n'est pas rappelé dans l'article).             






       On pourrait plutôt dire:      



&nbsp;“la Cour de justice de l’Union européenne est venu invalider l’accord de transfer de données personnelles avec les États-Unis.” &nbsp;

&nbsp;



      Du coup, comme on l'a vu dans les commentaires sur l'article précédent, un lecteur peu attentif et pas nécessairement au courant de ce qu'est le Privacy Shield pourrait assez facilement conclure qu'une cour de l'Union Européenne a détruit une protection du consommateur (le Shield) alors que c'est l'inverse.

Je trouve que cette décision suit celle des cours allemandes rappelant que les services de renseignements allemands ne pouvaient pas espionner tous le monde:

https://www.journaldemontreal.com/2020/05/19/lespionnage-allemand-se-fait-recadr…

Cela va entraîner une petite révolution dans le renseignement


c’est valable pour TOUTE ‘l’Europe’ !

ça fait longtemps ‘qu’elle a baisser-les-bras’

les ‘USA’ sont en-Pays-conquis ! <img data-src=" />


Une bonne remise à jour qui s’imposait, merci à la CJUE pour le bon travail !



À suivre pour voir comment la passoire va être colmatée, ou pas…


Justement, c’est bon pour la profession, puisqu’il faudra davantage d’analyses et de contrats spécifiques.&nbsp;



Pour ta proposition, c’est déjà en vigueur dans un pays, la Chine. Les données personnelles des chinois doivent être traitées en Chine.&nbsp;



Pour le reste, c’est inquiétant de voir que la Commission est parfaitement au courant de l’inefficacité de ses propres règles, mais ne fait absolument rien pour protéger ses citoyens. C’est profondément honteux et scandaleux. L’intérêt (et encore) de l’Etat Américain passe avant les citoyens européens. L.A.M.E.N.T.A.B.L.E


Et pendant ce temps-là… ceux qui avaient validé tout ça…


Prenons, par exemple, une entreprise européenne faisant des affaires avec la Russie ou l’Inde,&nbsp;commente en ce sens le professeur de droit Théodore Christakis. Serait-il

possible, pour une telle entreprise, de déclarer demain qu’elle ne

transférera plus de données personnelles vers ces pays parce que les

lois russes ou indiennes n’offrent pas une protection suffisante des

droits de l’homme ?



Pour moi la question est surtout de savoir si les entreprises en question ne feraient pas ce genre de déclaration en public, tout en rassurant (en privé) leurs partenaires extra-EU que rien ne va changer en pratique.

Et que, effectivement, rien ne change en pratique.

Les promesses n’engagent que ce qui les reçoivent, pas ceux qui les font.



Or en terme purement pratique, comment fait-on pour s’assurer que ces fameuses données des citoyens EU restent cloisonnées en EU ? Comment être sur que 1) elles sont bien uniquement stockés sur le sol EU (sachant qu’elles sont probablement chiffrés) et 2) que , même si c’est le cas, d’autres pays n’ont pas simplement des sondes au sein même de ces sociétés.

A mon sens c’est impossible. Même en louant un VPS chez OVH avec des obligations RGPD, j’ai aucune garantie technique que ce dernier ne loggue pas tout le trafic in/out réseau & disque pour l’envoyer aux américains. C’est une question de confiance…. jusqu’au scandale.

&nbsp;

&nbsp;







Soriatane a écrit :



Suvent il est déclaré que le RGPD est une loi extraterritorial, je ne partage pas cette analyse: le RGPD dit que si vous souhaitez vous nourrir des données d’européens vous devez accepter les contraintes réglementaires EU, comme ce que l’on fait avec les armes, l’alcool, la propriété etc …





De ce que j’en avais compris la RGPD est l’une des premières lois EU qui se voulait extra-territoriale, pour faire la nique aux nombreuses lois US que eux appliquent sans vergogne de manière extra-territoriales sans accords préalables ou négociation - juste car leur poids économique et la possibilité de rétorsion le leur permet.

De ce point de vue-là la RGPD était un petit doigt trempé dans une casserole :-)



Merci pour cet article qui permet d’y voir un peu plus clair.

Le 1607 sur BFM radio un intervenant disait que cela n’aurait aucun impact (pour le transfert des données) pour les sociétés car elles basculeraient sur les CCT en attendant une nouvelle alternative du SHIELD.



Après il y a trop d’intervenants pour dire que c’est une catastrophe pour les sociétés européennes d’un point de vue économique. lol.

Les traitements effectués sur les données dans un pays tier peuvent être réalisé dans un data center en Europe.

Le volume de données transféré est juste énorme alors que les traitements pourraient avoir lieu sur place. Ce transfert ressemble plus à un transfert pour éviter la loi européenne sur l’usage des données que pour des besoins techniques de traitements.



Dans le monde du HPC, les traitements se rapprochent de plus en plus du lieu de stockage des données car le transfert des données est de moins en moins possible vue l’augmentation du volume.


La confiance, c’est valable pour tout

il faut avoir confiance pour mettre quelque chose en location

il faut faire confiance quand on engage un employé (coucou Snowden)

il faut faire confiance quand tu achète un appareil électrique (chargeur, smartphone, …)



C’est toujours quand la confiance a été trahie et que ça est découvert que le scandale arrive.



Mais utiliserais-tu ta voiture sur l’autoroute si tu ne faisais pas confiance en: ton constructeur (et ses fournisseurs), ton service de révision, la fiabilité du revêtement de la route, le respect minimum des autres usagers du code de la route, … confiance un niveau plus loin quand tu es passager, etc



Question encore plus simple: faut-il avoir confiance en son gouvernement, et de manière large, à ses élus?





Perso, je n’assimile pas notre comportement à de la confiance. C’est au mieux de la tolérance, au pire du fatalisme (sans oublier l’inconscience).








dematbreizh a écrit :



(…)Mais utiliserais-tu ta voiture sur l’autoroute si tu ne faisais pas confiance en: ton constructeur (et ses fournisseurs), ton service de révision, la fiabilité du revêtement de la route, le respect minimum des autres usagers du code de la route, … confiance un niveau plus loin quand tu es passager, etc (…)





Comment dire…



C’est bizarre comme réflexion.&nbsp;

C’est toujours basé sur la confiance. Qui te dit que telle entreprise ne triche pas ? C’est le respect de la réglementation qui s’impose. Et c’est pour ça qu’ensuite il y a des contrôles.&nbsp;

Si on doute de tout, on arrive plus à rien.&nbsp;








Soriatane a écrit :



Je trouve que cette décision suit celle des cours allemandes rappelant que les services de renseignements allemands ne pouvaient pas espionner tous le monde:

https://www.journaldemontreal.com/2020/05/19/lespionnage-allemand-se-fait-recadr…

Cela va entraîner une petite révolution dans le renseignement





Loi ou pas tout service de renseignement le fera quand même. Restons lucides.



&nbsp;





OB a écrit :



Pour moi la question est surtout de savoir si les entreprises en question ne feraient pas ce genre de déclaration en public, tout en rassurant (en privé) leurs partenaires extra-EU que rien ne va changer en pratique.

Et que, effectivement, rien ne change en pratique.

Les promesses n’engagent que ce qui les reçoivent, pas ceux qui les font.



Or en terme purement pratique, comment fait-on pour s’assurer que ces fameuses données des citoyens EU restent cloisonnées en EU ? Comment être sur que 1) elles sont bien uniquement stockés sur le sol EU (sachant qu’elles sont probablement chiffrés) et 2) que , même si c’est le cas, d’autres pays n’ont pas simplement des sondes au sein même de ces sociétés.

A mon sens c’est impossible. Même en louant un VPS chez OVH avec des obligations RGPD, j’ai aucune garantie technique que ce dernier ne loggue pas tout le trafic in/out réseau & disque pour l’envoyer aux américains. C’est une question de confiance…. jusqu’au scandale.

&nbsp;

&nbsp;



De ce que j’en avais compris la RGPD est l’une des premières lois EU qui se voulait extra-territoriale, pour faire la nique aux nombreuses lois US que eux appliquent sans vergogne de manière extra-territoriales sans accords préalables ou négociation - juste car leur poids économique et la possibilité de rétorsion le leur permet.

De ce point de vue-là la RGPD était un petit doigt trempé dans une casserole :-)







Effectivement il n’y a pas de moyen de se prémunir de telles actions à moins de fabriquer un “french health data hub” ( et encore on ne sait si cela sera bien fichu) pour cela aussi.



&nbsp;On ne peut que déplorer que le problème de souveraineté numérique n’ait pas réveillé nos politiques tant le sujet est intriqué (et on le savait depuis 30 ans) dans l’économie, chaque année de plus en plus.

&nbsp;





&nbsp;









StephaneGames a écrit :



Ce transfert ressemble plus à un transfert pour éviter la loi européenne sur l’usage des données que pour des besoins techniques de traitements.



Dans le monde du HPC, les traitements se rapprochent de plus en plus du lieu de stockage des données car le transfert des données est de moins en moins possible vue l’augmentation du volume.







Les CDN n’empêchent pas des montages rassérénants : il est plus pratique de transférer des méta-données extraites sur place que de tout faire tourner à l’étranger et payer la bande passante qui va avec…








Plutôt correct d’un point de vue historique.

Rien de bizarre là dedans. Tout au plus la défense de la confiance a été assurée par nombre d’utilisateurs naïfs et/ou fanatiques, dans tous les cas confortablement lottis, sans plus de déclarations des entreprises en question.


Merci Marc pour cette analyse poussée. Que d’infos !!!


Très bon article qui permet d’y voir plus clair, merci !

Mais concrètement, j’ai peur que ça change absolument rien pour nous…

C’est peut être ça le plus triste, être au courant et rien pouvoir y faire.


C’est long, c’est dur, mais c’est bon !

Merci Marc :)



Question bonus

Si on imagine un transfert de données par voie mécanique, on s’exonére de tout ça non ? Car ça parle de ‘electromagnetiques’ <img data-src=" />








Ohmydog a écrit :



C’est bizarre comme réflexion.&nbsp;

C’est toujours basé sur la confiance. Qui te dit que telle entreprise ne triche pas ? C’est le respect de la réglementation qui s’impose. Et c’est pour ça qu’ensuite il y a des contrôles.&nbsp;

Si on doute de tout, on arrive plus à rien.&nbsp;







Mon interrogation portait justement sur ces contrôles.

Aujourd’hui, tu peux&nbsp; faire des contrôles , par exemple au frontières ou dans les entreprises, pour voir si les plaquettes de frein sont bien conformes ou si les denrées alimentaires sont bien saines , et ce même si c’est coûteux et complexe.

Mais pour savoir si les données numériques d’une entreprise privée ont été copiés , chiffrés, sur un serveur aux USA ou en Chine ?

Oh tu peux regarder les serveurs, les déclarations des gens. Mais à mon sens il n’y a pas vraiment de contrôles possibles. Le seul moyen serait par des lanceurs d’alertes qui donneraient l’endroit exact où trouver le pot aux rose.



&nbsp;C’est pour moi quelque chose de perdu d’avance, comme par exemple le combat contre le P2P des ayants droit: On parle de copies numériques , donc de copies sans dégradations et potentiellement chiffrés. C’est juste impossible à contrôler une fois récolté.



&nbsp;





Chez les anciens informaticiens qui bossaient avec QSAM VTAM VSAM BTAM BDAM etc

( https://www.ibm.com/support/knowledgecenter/zosbasics/com.ibm.zos.zconcepts/zcon… )



on appelait cela PTAM



Pickup Truck Access Method



<img data-src=" />



Désolé, mais Je ne comprends pas pourquoi on ne le verrait pas.&nbsp;

Je n’y connais rien en technique, mais quand je vois que dans un Dawn-raid concurrence, les inspecteurs retrouvent tout, je me dis que ça doit être pareil dans ce cas-ci.&nbsp;


Et dire que je paye pour me farcir des commentaires d’arrêt pfff. <img data-src=" />



Merci et bravo Marc pour cet article très éclairant.


Dans ce cas le plus simple est de mettre en place des procédures a priori comme les cas que tu décris, et non d’exercer un contrôle a posteriori d’autant plus difficile qu’en l’absence d’un formalisme clair, c’est 2 à 3 fois plus d’efforts pour répondre à des questions simples.








OB a écrit :



C’est pour moi quelque chose de perdu d’avance, comme par exemple le combat contre le P2P des ayants droit: On parle de copies numériques , donc de copies sans dégradations et potentiellement chiffrés. C’est juste impossible à contrôler une fois récolté.







Une fois récolté : il y a double contrôle puisque ce sont des copies. <img data-src=" />



Une asperge<img data-src=" />





<img data-src=" />








JoePike a écrit :



Chez les anciens informaticiens qui bossaient avec QSAM VTAM VSAM BTAM BDAM etc

( https://www.ibm.com/support/knowledgecenter/zosbasics/com.ibm.zos.zconcepts/zcon… )



on appelait cela PTAM



Pickup Truck Access Method



<img data-src=" />





Pas besoin d’être un vieux de la vieille, Amazon le fait bien aujourd’hui avec ses propres “semi-remorques” pour venir pomper tes pétaoctets directement à la source :https://aws.amazon.com/fr/snowmobile/ <img data-src=" />

<img data-src=" /><img data-src=" />









wagaf a écrit :



Merci pour ce bon article.




        Le premier paragraphe de cet article indique:            

&nbsp;"la Cour de justice de l’Union européenne est venu invalider le « bouclier de vie privée » ou Privacy Shield." &nbsp;






   &nbsp;Alors que ce n'est pas vraiment le cas et porte à confusion, à moins d'être déjà parfaitement au courant de ce qu'est le Privacy Shield (ce qui n'est pas rappelé dans l'article).







J’admet que lorsque j’ai entendu parler la première fois de ce jugement, j’ai cru que c’était une mauvaise nouvelle… jusqu’à ce que je comprenne ce qu’était réellement ce “Privacy Shield”.



Ouch j’ai mis ~8h à lire ce passionnant article (en le picorant hein, il est trop long sinon, faut bosser un peu).



La conclusion me laisse dubitative. Je vois mal comment on peut concilier la protection des données avec la toute puissance de la NSA/FBI/CIA sur ces données.



Le consentement ne peut jamais être vraiment explicite (sauf à considérer qu’une case à cocher ou le bouton J’accepte tout soient explicites). Ou alors il faut ajouter “et j’accepte que mes données puissent être consultées par les services de renseignements étazuniens, chisois et russes” dans son recueil. Pas sûr que ce soit suffisant.



De plus je vois mal les milliers de sociétés qui se servaient de ce bouclier pour traiter les données tout remettre en question.


Je n’ai pas de problème que les services de renseignements le fassent, je suis juste gêner le fasse sans contrôle et de manière massive.


Oui?

ma question est arrêtes-tu de conduire, ou acceptes-tu de te faire enfler par n’importe qui? (question rhétorique, d’où la fin de mon com’)


Dans le but (et d’autres) de passer en-deçà des réglementations continentales il y a ceci.








Idiogène a écrit :



Dans le but (et d’autres) de passer en-deçà des réglementations continentales il y a ceci.





J’ai bien vérifié, l’article n’a pas été publié un 1er avril pourtant…&nbsp; <img data-src=" />