« L’ironie de la rivalité, c’est que les conceptions européennes l’emportent en envergure sur sa force,
Alors que la puissance des États-Unis est supérieure à leurs conceptions. »
Henry Kissinger, les Malentendus transatlantiques, Denoël, 1965, 300p.
Écrite en 1965, cette sentence connaît une actualité inattendue dans la jurisprudence de la Cour de justice de l’Union européenne en date du 17 juillet 2020, relative à l’échange transatlantique de données.
La Cour a été une nouvelle fois sollicitée suite à une requête de Max Shrems, ressortissant autrichien la fronde est désormais juridique, et la répétition de ses victoires nous concerne tous. Dans la continuité de son action de 2015, qui avait entraîné la disparition du « safe harbor », en 2020, l’invalidation de la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, sonnant le glas du « privacy Shield », est son dernier fait d’armes.
Cette décision, prise en application de la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, n’a pas résisté au niveau de protection offert par le RGPD et à la gloutonnerie des programmes de surveillance américains.
Néanmoins, si le privacy Shield a largement facilité l’échange de données transatlantique, tant les évolutions récentes des appétits américains, que les prises de position des institutions européennes laissaient déjà entrevoir un avenir sombre pour ce texte d’adéquation partielle, limité à un secteur déterminé dans un pays tiers, comme prévu par l’article 45, 1) du RGPD.
Si la Cour censure le privacy Shield (I), elle valide la décision 2010/87 relative aux clauses types contractuelles, et conduit la question des transferts transatlantiques de données vers de nouvelles perspectives juridiques (II.)
I. le « Privacy Shield » se brise
Un bouclier fragilisé par de multiples attaques
Sous son empire, les entreprises adhérentes sont couvertes par le régime d’adéquation, et ne nécessitaient, en principe, ni la mise en place de garanties appropriées (telles que des clauses types) ni une dérogation. Les entreprises établies aux États-Unis pouvaient adhérer au Privacy Shield par un système d’autocertification sous le contrôle des autorités américaines, afin d’assurer une protection substantiellement équivalente des données).
L’avertissement Cambridge Analytica
Pour autant, la jurisprudence du 16 juillet n’est que le dernier acte, d’une défiance de plus en plus ancrée vis-à-vis de cette décision. À cet égard, dans son avis du 28 novembre 2017, le G29 a identifié « plusieurs problèmes significatifs » à prendre en compte. Puis, en juillet 2018, le Parlement européen a adopté une résolution réclamant la suspension du Privacy Shield si les États-Unis ne se mettaient pas en conformité avec ses termes avant le 1er septembre 2018. La résolution cite notamment l’affaire Facebook-Cambridge Analytica, en constatant que les sociétés Facebook Inc., Cambridge Analytica et SCL Elections Ltd étaient certifiées dans le cadre du Privacy Shield et que, par conséquent, « elles ont bénéficié de la décision d’adéquation comme base juridique pour le transfert, en vue du traitement ultérieur, de données à caractère personnel de l’Union européenne vers les États-Unis ».
Le droit de réquisition numérique du CLOUD ACT
En outre, le Parlement avait exprimé ses « vives préoccupations » concernant l’adoption aux États-Unis de la Clarifying Lawful Overseas Use of Data (CLOUD) Act, permettant aux autorités de justice américaines d’ordonner la divulgation, dans certaines circonstances, d’informations stockées en Europe par des organismes américains. Il est à noter que le CLOUD ACT peut concerner tout type de données, et que le droit français peine à apporter une réponse effective à la gloutonnerie américaine en la matière. Les chiffres parlent d’eux même puisque la loi de blocage du 26 juillet 19681 n’a connu qu’une seule application. A un autre niveau de protection, le Parlement européen a souligné à cet égard que «la loi CLOUD pourrait avoir de graves conséquences pour l’UE, car elle a une grande portée et est source de conflit potentiel avec la législation de l’UE sur la protection des données ». Les autorités américaines se sont ainsi affranchies des frontières étatiques et des règles de courtoisie internationale avec ce droit de réquisition transnationale2. En effet, ces dispositions permettent la communication des données notamment par les GAFAM, pour autant que ces requêtes portent sur un « serious crime », fort opportunément non défini, ce qui peut favoriser l’exposition des sociétés françaises à des poursuites à but d’affaiblissement économique (Alstom, BNP…etc.).
Le renouveau du renseignement : FISA
Le Parlement a également visé, la Foreign Intelligence Surveillance Act (FISA), et notamment sa Section 702, qui a récemment été renouvelée pour six ans et qui permet la surveillance par les autorités américaines de personnes en dehors des États-Unis. Enfin, à l’occasion de son deuxième examen annuel du dispositif, le CEPD (ex-G29) a rendu le 22 janvier 2019 un rapport au travers duquel le Comité, tout en relevant les efforts fournis par les autorités américaines, souligne des insuffisances qui pour certaines avaient déjà été relevées par le passé. Sont notamment mises en cause les questions de l’accès aux données à caractère personnel au nom de la sécurité nationale, des contrôles de conformité n’étant pas suffisamment rigoureux et de la recertification d’entreprises dont le niveau de conformité n’était pas entièrement satisfaisant.
Un bouclier mis en pièce par la CJUE
La reconnaissance de l’applicabilité du RGPD.
Dans son arrêt la Cour de Luxembourg estime, tout d’abord, que le RGPD, s’applique à un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, même si, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté de l’État par les autorités du pays tiers concerné. Alors que le droit européen prévoit des dispositions spécifiques sur ces questions<sup3, la Cour rappelle le caractère « matriciel » du RGPD, qui a vocation à s’appliquer à tout traitement de données à caractère personnel. Cette question se posait d’autant que la décision annulée avait été prise sur le fondement d’un texte précédent : la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Ainsi, ce type de traitement de données par les autorités d’un pays tiers ne saurait exclure un tel transfert du champ d’application du RGPD.
La recherche d’une protection substantiellement équivalente
L’applicabilité du RGPD a pour conséquence la recherche « d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par ce règlement, lu à la lumière de la Charte. » Ce niveau de protection s’appréciant tant vis-à-vis des garanties mises en place dans les relations contractuelles, que vis-à-vis des tiers.
Concernant les relations contractuelles la Cour a considéré que les clauses types de protection des données prévues par la décision 2010/87 étaient valides sous réserve d’un mécanisme effectif permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer. Mécanisme effectif en l’espèce.
L’ingérence disproportionnée des autorités américaines
Pour autant, vis-à-vis des tiers, en l’occurrence l’État fédéral américain, la Cour a considéré que les orientations prises par les systèmes de renseignement notamment dans les programmes régis par l’exécutive Order 12333 et l’article 702 du FISA créent une ingérence disproportionnée dans la vie privée des citoyens européens, en violation tant de la charte des droits fondamentaux que du RGPD.
En effet, contrairement à « la tradition continentale » du Renseignement qui vise des personnes déterminées, les systèmes mis en place aux États-Unis, habilite les services de renseignement à capter des données en fonction des sujets prioritaires. Quant aux garde-fous mis en place, ils ne visent qu’à vérifier si ces programmes de surveillance correspondent à l’objectif d’obtenir des informations en matière de renseignement extérieur, mais ne portent pas sur le point de savoir si les personnes sont correctement ciblées pour se procurer des informations en matière de renseignement extérieur. Dès lors, la protection offerte ne peut être considérée comme substantiellement équivalente à celle mise en place par le RGPD.
II. Les conséquences à la disparition du bouclier
L’invalidation par la CJUE, a pour principale conséquence que les traitements qui se fondaient sur le « privacy Shield » en application de l’article 45 du RGPD, encours un risque d’illégalité, et doivent évoluer pour se conformer aux conséquences de cette décision. Cette décision principielle va entraîner des contentieux importants pour toutes les entreprises qui échangent des données avec les États-Unis, d’autant que l’illégalité vaut « en cascade », notamment pour les contrats de sous-traitance.
Le risque contentieux est d’autant plus important que l’absence de la nécessité d’une autorisation pour ce type de traitement peut impliquer une méconnaissance par les opérateurs économiques du fondement du transfert de leurs données vers un pays tiers. Les entreprises européennes pouvant dans certaines hypothèses avoir eu recours au bouclier disparu.
Désormais, en cas d’utilisation du Privacy Shield pour des transferts de données, les flux ne sont plus encadrés par une décision d’adéquation et doivent donc faire l’objet d’autres garanties appropriées.
Quant à la nature et la portée de ces dernières, actuellement l’incertitude demeure et même les autorités de contrôle nationales sont dans l’expectative, et cherche les voies juridiquement compatibles avec le RGPD à mettre en oeuvre4.
Cependant, loin de présenter des perspectives claires, les autorités de contrôle, dans une interprétation exégétique, demandent aux responsables de traitement de s’assurer de l’existence d’un niveau de protection équivalent, y compris vis-à-vis des programmes de surveillance des agences de renseignement des pays tiers.
L’impossible mise en oeuvre des clauses types
Il est tout d’abord envisageable de favoriser la mise en place de Transferts moyennant des garanties appropriées notamment à travers l’utilisation de clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers5, dont la CJUE a dans cet arrêt validé la conformité au RGPD. Pour autant, cette mise en oeuvre n’a rien d’automatique et semble en l’espèce problématique.
En effet, la Cour a considéré que concernant les clauses types, l’évaluation du niveau de protection devait prendre en compte tant leurs stipulations convenues entre le responsable du traitement et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données ainsi transférées, les éléments pertinents du système juridique de celui-ci.
Ces derniers éléments ayant été considérés comme problématique par la Cour, il est douteux de penser que l’utilisation des clauses types puisse en l’état remplacer le « privacy Shield ».
L’impossible mise en place de l’article 49
Ensuite, il est envisageable de mettre en place en application de l’article 49 RGPD, des dérogations pour des situations particulières, par exemple, en récoltant le consentement au transfert des personnes concernées par le traitement. Comme le remarque la CNIL, au moment d’appliquer l’article 49, il convient de garder à l’esprit que, conformément à l’article 44, l’exportateur de données qui transfère des données à caractère personnel vers des pays tiers ou à des organisations internationales doit aussi respecter les conditions définies dans les autres dispositions du RGPD. Il y a donc un double contrôle à opérer par le responsable du traitement, vis-à-vis de toutes les dispositions pertinentes du RGPD puis dans un second temps par rapport à l’article 49.
Ce second niveau de contrôle risque de rendre difficile l’utilisation des dérogations pour les transferts transfrontaliers de données avec les États-Unis. En effet, il ne s’agit là que d’une solution transitoire et juridiquement très incertaine, dans la mesure ou le texte même de l’article 49 précise notamment que ce type de transfert : «ne peut avoir lieu que si ce transfert ne revêt pas de caractère répétitif, ne touche qu’un nombre limité de personnes concernées, est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée, et si le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel ». Cette dernière condition semblant rendre, en l’état, cette solution difficilement envisageable eu égard à la constatation par la Cour dans le présent arrêt de l’absence de protection substantiellement équivalente.
Ainsi, les interprétations faites par les autorités publiques sur la portée de cet arrêt, interroge sur leur volonté de permettre une protection efficace et effective des droits fondamentaux. Aujourd’hui six questions restent sans réponse :
- Les transferts vers les États-Unis sont désormais interdits, mais la portée pratique, en termes d’opportunité juridique, reste mal définie. Car, l’immense majorité des entreprises et des administrations utilisent des services américains. Partant, il est difficile d’imaginer des poursuites à l’encontre de toutes les entreprises et administrations.
- Concernant les clauses contractuelles types, la portée de l’arrêt n’est pas clairement définie, car, au-delà du simple cas américain, la solution semble applicable à un grand nombre de pays.
- Les responsables de traitement doivent vérifier l’ensemble des CCT et des BCR à l’aune de cet arrêt. Toutes les administrations et les entreprises devront mettre à jour leur conformité au RGPD.
- Concernant les sous-traitants, le responsable de traitement doit organiser la mise en place d’amendements aux contrats pour interdire ce type de transferts transfrontaliers.
- Si les transferts n’offrant pas un degré de protection équivalent doivent être arrêtés, ceux qui sont maintenus, notamment sur le fondement de l’article 49, devront, pour la plupart, faire l’objet d’un signalement à l’autorité de contrôle.
- Cette dernière pourra alors interdire ces transferts, renouant ainsi avec le régime juridique de l’autorisation qu’avait mise en place la loi informatique et libertés. Pour autant, ce renforcement, de facto, des pouvoirs des autorités de contrôle n’est qu’illusoire.
Car ne nous y trompons pas, en se défaussant sur les responsables des traitements, quant au contrôle d’une protection équivalente, ils demandent, in fine, à des entreprises, qu’elles soient PME ou multinationales, de littéralement « auditer » les programmes de surveillances américains qu’ils proviennent de la CIA, de la NSA, ou du département de la Justice. Cet audit devant préciser le niveau de protection des droits fondamentaux offerts aux individus.
Ce désengagement des personnes publiques européennes est problématique, car loin de leurs rôles d’autorité administrative indépendante qui conseillent et aiguillent les entreprises, elles se cantonnent désormais à un rôle de répétition du texte du RGPD, et délégant la responsabilité et la découverte de solutions juridiquement fonctionnelles aux entreprises.
Les autorités de contrôles déconnectés des enjeux et des réalités pratiques ne fournissent ainsi aucune solution pérenne, pour permettre les transferts transfrontaliers de données, laissant les acteurs face à une responsabilité qu’ils n’ont nullement les moyens de satisfaire.
En conclusion, ironiquement cet arrêt montre que si les principes en matière de protection des données des européens l’emportent sur celui des Américains, c’est probablement au niveau de leur force, que se situera le prochain champ de bataille, l’Europe va-t-elle réussir à faire primer ses principes sur la force commerciale des Américains… Il s’agit probablement là du prochain malentendu transatlantique.
1 Loi n°68-678 du 26 juillet 1968 relative à la communication de documents et renseignements d’ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères
2 O. de Maison Rouge, « Cloud Act et collecte des preuves numériques à l’étranger : la souveraineté judiciaire en balance », AJ pénal, 2019 p. 591.
3Voir par exemple : Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil
4 https://www.cnil.fr/fr/invalidation-du-privacy-shield-la-cnil-et-ses-homologues-analysent-actuellement-ses-consequences
5 Décision de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil