Avis d’expert : Le Privacy Shield en proie au doute !

30 Nov 2018
Frédéric Le Corre
204
0

Depuis le 1er aout 2016, date d’entrée en vigueur du Privacy Shield, les organismes européens peuvent se référer à ce dispositif pour transférer des données personnelles vers les Etats-Unis. Cette possibilité est ouverte à condition que les entreprises destinataires des données aient au préalable adhéré au dispositif en s’inscrivant sur un registre tenu par l’administration américaine.
Au-delà de cet engagement déclaratif, les entreprises inscrites doivent respecter les obligations qui découlent du Privacy Shield, afin que ce dispositif soit efficace.

 

I. Les origines du Privacy Shield

1. Le dispositif de la « sphère de sécurité »

Adopté en 2000, après de longues discussions depuis 1998, entre la Commission européenne et le Ministère du commerce des Etats-Unis, le dispositif de la « sphère de sécurité » ou « Safe Harbor » visait à simplifier les transferts de données personnelles entre l’Union européenne et les Etats-Unis d’Amérique, tout en répondant aux règles d’adéquation présentes dans la directive 95/46/CE[1].
La difficulté étant liée au fait que la conformité au standard d’adéquation devait reposer sur l’application par l’entreprise adhérente d’une série de principes qui ne faisaient pas partie de la législation américaine sur la protection des données à caractère personnel.

A titre d’information, au 1er janvier 2015, plus de 5 049 entreprises s’étaient auto-certifiées, le système étant en effet basé sur un système d’adhésion volontaire des entreprises américaines. Celles-ci s’engageaient alors à respecter un certain nombre de principes pour bénéficier des avantages liés à cette certification. L’effectivité des principes étant alors assurée par un mécanisme spécifique de résolution des conflits[2].

2. Le combat mené par Maximilian Schrems

C’est l’autrichien, Maximiliam Schrems, doctorant en droit, qui est à l’origine de l’invalidation par la Cour de justice européenne le 6 octobre 2015 de l’accord « Safe Harbor » encadrant l’utilisation des données personnelles des internautes européens par les entreprises américaines. Ce dernier étant déjà à l’origine, en 2009, de la condamnation d’un directeur d’entreprise spécialisée en vidéosurveillance, qui posait des caméras filmant l’espace public, une pratique illégale en Autriche[3].

En effet, ce n’est que quelques années plus tard, après cette première affaire, que Max Schrems s’insurge des pratiques de FACEBOOK notamment après avoir participé à une conférence où un employé du géant américain donnait une interprétation biaisée de la loi européenne. Max Schrems expliquait ainsi en 2014 dans un entretien accordé à PIXELS[4] :
« J’ai étudié aux Etats-Unis pendant un semestre. Et quelqu’un de Facebook est venu nous expliquer comment les lois européennes sur la vie privée fonctionnaient. J’étais le seul Européen. Et il disait : « Vous pouvez faire ce que vous voulez, rien ne vous arrivera jamais. » Il interprétait la loi européenne d’une façon qui était complètement fausse. Il disait des choses comme : « Tant que personne ne vous dit non, vous pouvez continuer à utiliser leurs données. »

Ainsi, Max Schrems et 25 000 autres personnes ont attaqué FACEBOOK Irlande sur la politique de confidentialité de l’entreprise, la participation au programme PRISM de la NSA, ou encore le tracking sur les pages autres que celles de FACEBOOK. C’est cette plainte qui aboutit à la décision de la Cour de justice de l’Union européenne (CJUE)[5] conduisant à l’invalidation du « Safe Harbor ».

3. La mise en place d’un nouvel accord

Le 2 février 2016, un nouveau texte est proposé en remplacement du Safe Harbor, baptisé le « Privacy Shield » ou « bouclier pour la protection de la vie privée », et celui-ci est adopté par une décision de la Commission européenne le 12 juillet 2016. Ces dispositions sont ainsi supposées correspondre au même niveau de protection des données personnelles que celui appliqué en Union européenne (au regard de la directive 95/46/CE). L’accord lui-même constitue une décision d’adéquation du niveau de protection des données appliqué par les entreprises adhérentes au Privacy Shield.

Entre temps, le Groupe de travail Article 29 sur la protection des données (ou G29), rendait un avis le 13 avril 2016[6], indiquant que le UE-US Privacy Shield permet d’assurer que les transferts de données personnelles respectent un niveau de protection « essentiellement équivalent » aux exigences européennes.

Toutefois, pour le G29 trois points majeurs de préoccupation demeurent, qui ont trait à la suppression des données, la collecte de quantités massives de données, et la clarification sur les pouvoirs et l’indépendance du médiateur américain (Ombudsperson).

 

II. La mise en pratique de ce dispositif

1. La possibilité pour les entreprises américaines de gérer et exploiter les données personnelles des citoyens européens

Depuis le 25 mai 2018, et l’entrée en vigueur du RGPD, venu remplacer la Directive 95/46/CE, les données personnelles des résidents de l’Union Européenne ne peuvent être transférées en dehors de l’Espace Economique Européen (EEE), que si ce transfert répond aux conditions énoncées par le RGPD. Ainsi, pour transférer des données vers les Etats-Unis plusieurs mécanismes et outils sont disponibles. A savoir, le recours à des clauses contractuelles types, la mise en place de règles d’entreprises contraignantes (BCR) et bien sûr le Privacy Shield ».

Afin de pouvoir adhérer à ce mécanisme d’auto-certification que constitue le « Privacy Shield », les entreprises américaines doivent être soumises aux pouvoirs de contrôle et d’exécution de la Commission Fédérale du Commerce (« FTC ») ou du Département des Transports américains (« DoT »).

Ainsi, le Privacy Shield concerne tout transfert de données à caractère personnel depuis l’Union européenne vers les Etats-Unis, qu’il s’agisse de données commerciales, de santé ou encore relatives aux ressources humaines à condition bien sûr que la société destinataire ait adhéré au dispositif.

2. Les conséquences pratiques pour les entreprises qui stockent leurs données aux Etats-Unis

Cet accord a donc pour vocation de protéger les données personnelles des européens sur le territoire américain. Toutefois, les entreprises européennes, avant d’opérer des transferts de données à caractère personnel auprès d’une entreprise établie aux Etats-Unis qui déclare avoir adhéré au Privacy Shield, doivent s’assurer que l’entreprise dispose d’une certification active et que la certification couvre les données concernées par le transfert.

Ces vérifications peuvent se faire en se connectant au portail du Privacy Shield, sur lequel figure la liste des sociétés disposant d’une certification active et applicable aux traitements concernés. En effet, toutes les entreprises américaines ayant accompli avec succès le processus d’auto-certification sont répertoriées sur cette liste.

En outre, le transfert de données à caractère personnel d’une société européenne vers une société située aux Etats-Unis doit respecter l’ensemble des obligations légales figurant dans le RGPD. L’entreprise qui réceptionne les données doit offrir un niveau de conformité adéquat et équivalent à une entreprise européenne soumise au règlement européen.

 

III. Le Privacy Shield, un dispositif efficace ?

1. La remise en question du dispositif avec l’entrée en vigueur du RGPD

Depuis l’entrée en vigueur du RGPD qui prévoit toujours le recours à des mécanismes sécurisant les transferts en dehors de l’EEE, comme sous l’empire de la Directive 95/46/CE, le « Privacy Shield » s’est vu confronté à des remises en question.

La Commission européenne a ainsi rendu un premier rapport sur l’application du Privacy Shield en octobre 2017[7]. Elle a alors considéré que le bouclier de protection des données continuait d’assurer un an après son adoption, un niveau adéquat et que ce dispositif apportait des éléments novateurs par rapport au « Safe Harbor ». La Commission a quand même souligné dans son rapport que le bouclier pouvait être amélioré et a ainsi formulé un certain nombre de recommandations. Parmi celles-ci figurent par exemple :

• La nomination de l’Ombudsperson de manière permanente dès que possible,
• Le respect par les autorités américaines de leurs engagements visant à fournir à la Commission des informations récentes et exhaustives sur des améliorations pouvant s’avérer pertinentes.

En effet, les Etats-Unis ne respectent pas les règles fixées par ce « bouclier de confidentialité » et le Parlement européen a exprimé son mécontentement.
Les députés européens reprochent notamment aux Etats-Unis de ne pas avoir nommé un « Ombudsperson » censé assurer la liaison entre les autorités européennes et américaines en cas de contentieux lié aux données personnelles.

Plus tard, durant une séance plénière du 5 juillet 2018, les eurodéputés ont adopté une résolution menaçant de réclamer la suspension du Privacy Shield. Le Parlement a repris les conclusions du rapport précité en constatant que ces recommandations n’ont pas été suivies. Les Etats Unis ayant en parallèle adopté le Cloud Act, et divers actes facilitant la surveillance des communications.

En outre, selon la commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement européen, les révélations sur le scandale Facebook/Cambridge Analytica démontrent les insuffisances du Privacy Shield.

2. Vers l’annulation du Privacy Shield ?

Dans une résolution adoptée le 11 juin 2018, la LIBE estimait que si les Etats-Unis ne se conformaient pas à leurs engagements pris à l’égard de l’Union Européenne au 1er Septembre 2018, le Privacy Shield devrait être suspendu. Cela ne fut pas le cas en réalité.
A cet égard, il est nécessaire de rappeler que seule la Cour de justice européenne ou la Commission européenne ont le pouvoir de suspendre le Privacy Shield.

A la suite de cette déclaration du Parlement européen, a eu lieu les 18 et 19 octobre 2018 la révision annuelle du Privacy Shield dans ce contexte de mécontentement de l’Union Européenne face à l’inaction des Etats-Unis.
Est alors paru le 19 octobre 2018, un communique de presse indiquant que le dispositif n’a pas été suspendu et que le gouvernement des Etats-Unis va mettre en œuvre les actions nécessaires à la bonne application du Privacy Shield outre atlantique, ce qui passera notamment par la désignation du Ombudsperson de manière permanente. Par ailleurs, le département du commerce américain s’est engagé à retirer leur certification aux entreprises qui ne se conforment pas aux obligations et prérequis du Privacy Shield.

Reste désormais à savoir si les Etats Unis tiendront leur engagement et si les nouvelles plaintes adressées par Maximilian Schrems mais également par la Quadrature du Net devant la Cour de justice européenne aboutiront à une annulation ou non de ce dispositif.

 

Pour en savoir plus :

Guide de la Commission européenne sur le Privacy Shield
Arrêt de la Cour de justice de l’Union européenne invalidant le Safe Harbor
Page d’information de la CNIL sur le Privacy Shield
Communiqué de presse de la Commissaire Vera Jourova et du secrétaire au commerce Wilbur Ross

[1] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
[2] Jean MASSOT, Anne DEBET, Nathalie METALLINOS, Informatique et libertés, la protection des données à caractère personnel en droit français et européen, 07/2015, LEXTENSO EDITIONS.
[3] https://www.lemonde.fr/pixels/article/2015/10/06/max-schrems-le-gardien-des-donnees-personnelles-qui-fait-trembler-les-geants-du-web_4783391_4408996.html
[4] https://www.lemonde.fr/pixels/article/2014/08/07/maximilian-schrems-le-but-est-de-faire-respecter-a-facebook-la-legislation-europeenne_4468090_4408996.html
[5] http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=293038
[6] https://www.cnil.fr/fr/communique-g29-publication-de-lavis-du-g29-sur-laccord-privacy-shield
[7] https://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619