Le Safe Harbor invalidé par la CJUE : interview de Me Benjamin May

Benjamin May, avocat associé au sein du cabinet Aramis, spécialiste en technologies de l'information et propriété intellectuelle, a bien voulu répondre à nos questions suite à l’invalidation du Safe Harbor par la Cour de justice de l’Union européenne.

Le 6 octobre, la CJUE a invalidé le Safe Harbor, ce label de confiance qui permettait aux entreprises américaines autocertifiées d’importer les données personnelles des citoyens européens. Elle a estimé que les capacités de surveillance de masse de la NSA étaient en indélicatesse avec le niveau de protection adéquate que pouvaient espérer ces personnes. Mieux, les juges européens ont invalidé l’existence même de ce Safe Harbor attribué par la Commission européenne en 2000. Pourquoi ? Parce que celle-ci avait négligé à border convenablement les droits des Européens, dont le fameux droit au recours, tout en restreignant les capacités de contrôle des CNIL européennes. Alors que la Commission européenne milite pour un maintien des flux via plusieurs leviers juridiques, nous avons esquissé les possibles scénarios avec Me Benjamin May, avocat spécialisé dans le droit des nouvelles technologies.

Que va-t-il se passer maintenant que le Safe Harbor est invalidé ?

Premièrement, pour tous les acteurs s'ouvre une période d’incertitude juridique. Depuis cette décision, personne ne sait exactement ce qui va se passer. Une certitude : on attend rapidement une clarification soit de la part du G29, le groupe de travail des CNIL européennes, soit de la Commission européenne sur un éventuel nouveau Safe Harbor. Ce sont les deux forums les plus probables pour apporter un peu de clarté juridique sur la situation.

À plus court terme, il faut distinguer deux catégories d’entreprises. Les premières sont ces entreprises américaines en « front line », en relation directe avec les consommateurs européens. Les habituels Facebook, Google, Amazon, Apple, etc., mais également d’autres entreprises moins sur le devant de la scène telles que des enseignes de la distribution présentes dans le e-commerce.

Toutes celles qui se reposaient sur le Safe Harbor ne le peuvent désormais plus. Il leur appartiendra donc de mettre en place un mode alternatif de transfert. Ce peut être les fameuses règles internes d'entreprise (ou BCR, binding corporate rules, ndlr) - ce qui ne sera certainement pas adapté à tous les cas de figure. Cela peut être plus certainement l’adoption des clauses contractuelles de la Commission européenne encadrant le transfert des données. Il y a enfin l’option du consentement exprès, qui est toutefois un véritable repoussoir pour les entreprises.

Pourquoi qualifiez-vous le recueil du consentement comme solution repoussoir ?

Si Facebook demande via un pop-up à l’ensemble de ses utilisateurs européens s’ils sont vraiment d’accord pour que leurs données puissent être transférées aux États-Unis, traitées et sujettes à la réglementation nationale, le site peut raisonnablement anticiper une grande déperdition. Voilà pourquoi le consentement exprès n’est pas une solution privilégiée.

Toutes ces solutions permettront sans doute de régler les problèmes pour l’avenir, mais nous avons aussi un problème de régularisation pour le passé. Juridiquement, la décision Safe Harbor de 2000 est annulée. Or, s’agissant d’une décision d’annulation, on peut se demander si les données transférées aux États-Unis depuis 2000 l’ont été de façon illégale.

Personne ne peut savoir sur quoi cela débouchera, mais je peux imaginer que si on se place du côté des consommateurs, il y aura un effet d’aubaine, où compte tenu du « buzz » de l’affaire Schrems, les CNIL nationales vont se retrouver face à une avalanche de plaintes contre les acteurs américains. Dans un premier temps, ces autorités de contrôle ne seront pas outillées pour faire face à un tel afflux, mais petit à petit, va émerger une position pour déterminer si les fournisseurs américains sont effectivement responsables du traitement des données européennes au titre de leurs pratiques passées.

Vous annonciez un deuxième type d’entreprises…

Oui, cette décision va également avoir des conséquences en cascade pour d’autres entreprises, je pense aux grands groupes qui emploient des salariés par exemple en France alors que leur siège social est aux États-Unis.

Généralement, ces multinationales ont mis en place en interne des mécanismes pour faire remonter les données personnelles traitées par leurs filiales européennes vers leur pays d’origine. Ce sont typiquement celles relatives aux ressources humaines, à la carrière, la paye, etc. Ces flux sont opérés pour nombre d'entre eux via une adhésion au Safe Harbor. Il y a d’ailleurs plus de 4 000 entreprises qui y adhèrent et la majorité est constituée par ces grands groupes.

La décision Schrems s’applique complètement à ces acteurs. Je pense qu’ils vont devoir mettre en œuvre très vite une cartographie de l’ensemble des traitements. Il faudra ensuite procéder à des régularisations, par exemple pour les transferts intragroupes avec des BCR ou pourquoi pas les clauses standards proposées par la Commission européenne. Ça peut se faire, certes, mais cela va représenter un travail important pour les services de l’entreprise qui vont devoir réévaluer ce qui a été mis en place dans le passé.

De la même manière, cela concerne aussi les entreprises européennes qui transfèrent directement des données à leurs fournisseurs américains. Seulement, certains d'entre-eux sont assez réticents à signer telles quelles les clauses standards de la Commission. On peut certes les modifier, mais dès lors qu’on les négocie, elles deviennent sujettes à autorisation de la CNIL du pays concerné.

Comment expliquer une telle réticence ?

Une entreprise comme Google n’a pas particulièrement envie de reconnaitre l’extension du droit européen. Il y a une notion de cheval de Troie dans toutes ces clauses, puisqu’elles reviennent à exporter contractuellement le cadre juridique européen aux États-Unis. Beaucoup d’entreprises n’ont donc pas envie d’être liées contractuellement à ce cadre, qui peut rentrer en conflit avec leurs obligations nationales. Dans les mois qui viennent, ce chantier va nécessairement occasionner une réévaluation, des réflexions et des coûts à la lumière de la décision Schrems.

Vous évoquiez des solutions permettant de contourner l’invalidation du Safe Harbor (BCR, clauses, etc.). En quoi ces portes de sortie permettront de passer entre les gouttes de la décision Schrems ? En quoi vont-elles empêcher cette surveillance massive dénoncée par la Cour ?

Votre question est poil à gratter. Qu’est-ce qui fait que les entreprises qui ont adhéré au Safe Harbor ne sont pas considérées par la CJUE, comme offrant des garanties aux sujets européens ? C’est parce qu'elles continuent malgré tout à faire primer le droit américain. Or, en matière de sécurité publique, celui-ci permet à un certain nombre d’organismes d’effectuer une surveillance massive.

Je suis d’accord avec le sens de votre question. Il n’est pas du tout évident que ces clauses contractuelles ou les BCR vont être considérées par ces entreprises américaines comme ayant une prévalence sur les règles de sécurité locales. Et si c’est le cas, pour le dire autrement, elles ne seront pas plus sécurisantes pour les individus européens.

Le juriste que je suis retient que la décision ne portait que sur le Safe Harbor. On ne peut donc pas se prononcer avec certitude sur les clauses contractuelles et les BCR. Mais vous avez raison, plus fondamentalement, on touche le cœur même du conflit de loi : les entreprises qui ont leur siège aux États-Unis n’auront jamais tendance à faire primer un droit étranger ou même des règles contractuelles, si elles sont en contradiction avec le droit local.

Il y a eu un appel du pied massif à l’encontre de la Commission européenne, mais également à destination des CNIL nationales. Quel peut être leur rôle désormais ?

Je n’ai pas de boule de cristal, mais je ne pense pas que la CNIL française va adopter une position unique. À l’heure même où on se parle, l’ensemble des autorités de contrôle doivent se concerter – c’est l’objet du G29 – pour adopter une position commune. Cela ne sera pas une mince affaire puisqu’on sait très bien que les autorités anglaises ou irlandaises sont considérées comme moins « administratives » dans leur approche que peuvent l’être leurs homologues française et allemande. Je fais tout de même l’hypothèse qu’on sortira avec une position commune avant que les CNIL nationales n’agissent. Cette position commune est d’ailleurs aussi en lien avec une autre décision de la CJUE, restée dans l’ombre de l’affaire Schrems, et qui va elle aussi très certainement consacrer un droit de contrôle et d’intervention plus grand des autorités locales.

Que dit cette autre décision moins médiatisée ?

Cette affaire Weltimmo est presque aussi importante que celle invalidant le Safe Harbor. La directive de 95 dit qu’à l’intérieur de l’Union européenne, lorsque vous avez un responsable du traitement d’un État A qui intervient en prestation de service dans un État B, alors la conformité aux règles relatives aux données personnelles revient à l’autorité de contrôle du pays d’origine, la CNIL de l’État A. Mais la directive précise que c’est à la condition qu’il n’y ait pas d’établissement de l’entreprise dans l’État tiers.

Dans cette affaire jugée 1er octobre, la CJUE considère que constituent des moyens de traitement établis dans cet autre État, pratiquement n’importe quoi. La simple présence physique d’un représentant, l’ouverture d’un compte bancaire, quoique ce soit qui peut faire penser à une présence effective avec des critères minces. Ceci redonne donc compétence à la CNIL de l’État B pour contrôler la conformité à la loi locale.

Pour moi, c’est la fin du système « One Stop Shop », une remise en cause du principe de base de la directive. Si une entreprise établie comme responsable au Royaume-Uni exerce des activités dans d’autres pays, par exemple en France, elle ne pourra plus considérer que la loi française ne lui est pas applicable. Cette entreprise devra d’abord faire une évaluation des différences entre le système anglais et le système français, et d’autre part, la CNIL française pourra éventuellement imposer des amendes. C’est un corolaire à la décision Schrems qui remet complètement sur le devant de la scène l’ensemble des autorités de contrôle nationales.

Considérez-vous justement que le rôle des autorités de contrôle a été remis en cause par l’arrêt Schrems, compte tenu de leur attitude passive dans le contrôle de ces flux ?

On peut le dire de deux manières. Ces deux décisions remettent les CNIL nationales sur le devant de la scène. En creux, cela veut dire aussi qu’on leur reproche de ne pas avoir assez agi dans le passé. Dans la décision Schrems, la CJUE a mis les deux pieds dans le plat sur un problème politique. Elle critique l’inaction des autorités européennes, qu’elles soient nationales ou communautaires, face à la connaissance d’une surveillance de masse par les acteurs américains de la sécurité.

Existe-t-il d’ailleurs un Safe Harbor européen, miroir du Safe Harbor américain ?

Non, cela n’existe pas. Globalement, la zone Europe est probablement le mieux-disant au monde pour la sécurisation de la vie privée des individus, notamment pour des raisons historiques. Je pense en particulier à l’Allemagne où il y a une réprobation viscérale à être sous la surveillance d’un État. Cela a donné un cadre législatif extrêmement protecteur de ce qu’on a appelé les droits fondamentaux des individus, parmi lesquels le droit au respect de la vie privée. La notion de « Safe Harbor inversé », qui garantirait aux citoyens américains le même degré de « privacy » de ce qu’ils ont chez eux, lorsqu’ils sont en relation avec des prestataires européens, n’a pas tellement de sens pour deux raisons. Comme je le disais, le cadre européen est mieux-disant. D'autre part, la réalité économique fait que les flux vont dans l’autre sens, puisque les grands prestataires sont plutôt aux États-Unis.

En revanche, la décision Schrems peut aussi être lue à la lumière de certaines réglementations nationales de surveillance. C’est certes le Safe Harbor qui a été annulé, ce qui ne concernait pas les pratiques des États européens, mais les considérants de la décision pourraient très bien s’appliquer à tout État faisant de la surveillance de masse...

Vous visez en creux la loi sur le renseignement ou la proposition de loi sur la surveillance internationale ?

Je ne m’avancerais pas là-dessus, ne connaissant pas assez bien ce sujet. Une certitude : la tension entre d’un côté, le droit de ne pas être surveillé et, de l’autre, les impératifs de sécurité, existent dans tous les pays.