Le 16 juillet 2020, le juge européen est venu invalider le contesté accord de protection des données personnelles dit « Privacy Shield », conclu entre l’Union européenne et les Etats-Unis. Cet accord était en vigueur depuis le 1er Août 2016, et consistait en une série de dispositions destinées à offrir un niveau de protection équivalent aux exigences européennes, pour les données personnelles des citoyens européens transférées vers les Etats-Unis.
Mais avant d’exposer les motifs de la décision d’annulation de la Cour de justice de l’Union européenne (CJUE), rappelons d’abord le contexte dans lequel celle-ci est intervenue.
La Directive 95/46 du Parlement européen et du Conseil, entrée en vigueur en octobre 1998, interdit le transfert de données personnelles vers des États non-membres de l’espace économique européen (EEE) qui protégeraient les données personnelles à un niveau inférieur à celui de l’EEE.
C’est donc dans cette logique que les Etats Unis, principaux importateurs des données des européens, avaient dû s’adapter et négocier avec le voisin outre-Atlantique, aboutissant en 2001 au « Safe Harbor », accord de principes auquel les entreprises américaines devaient adhérer pour pouvoir recevoir des données personnelles provenant d’Europe.
Mais à la suite des révélations Snowden pointant le système de surveillance de masse pratiqué par la NSA, Maximilian Schrems, un utilisateur autrichien du réseau social Facebook, saisit la Haute Cour de justice irlandaise : la plateforme n’offrirait pas une protection suffisante des données personnelles stockées aux Etats-Unis. S’en suit, sur question préjudicielle, une saisine de la CJUE laquelle annule par un arrêt du 6 octobre 2015 la décision de la Commission européenne qui affirmait que les États-Unis assuraient un niveau de protection suffisant des données à caractère personnel européennes transférées. Le « Safe Harbor » donc, est invalidé, et de nouvelles négociations, encore, s’ouvrent pour la mise en place d’un nouvel accord.
Entre-temps, les révélations Snowden ont servi de levier dans les discussions au niveau européen et accéléré l’adoption, fin avril 2016, du Règlement Européen du Règlement général de protection des données (RGPD). L’Europe se dote ainsi d’un arsenal législatif des plus rigoureux, garantissant un niveau élevé et uniforme de protection des données personnelles, obligeant alors les Etats tiers souhaitant continuer à héberger les données personnelles de citoyens européens, à en garantir une protection équivalente sur leur territoire.
Après négociations, le « Privacy Shield » est adopté. Il mettait en place un mécanisme d’auto-certification qui permettait aux entreprises européennes de justifier juridiquement du transfert de données personnelles aux États-Unis dans le respect du RGPD.
Concrètement, il s’agissait, pour les entreprises américaines souhaitant héberger des données provenant d’Europe, de s’inscrire sur un registre tenu par l’administration américaine. Pour les entreprises établies en Europe qui souhaitaient transférer des données aux Etats-Unis, il s’agissait d’effectuer une déclaration à la CNIL, après s’être assuré que l’entreprise américaine importatrice était bien enregistrée dans le registre.
Mais aussitôt entériné, cet accord « d’adéquation » est rapidement décrié : associations, professionnels, utilisateurs, on lui reproche de n’être que vaguement plus sécurisé que son ancêtre. La Commission européenne dans un rapport de 2019 avait par exemple conclu à la nécessité de la mise en place d’un contrôle régulier et systématique pour détecter les fausses déclarations de participation au « Privacy Shield » d’entreprises n’ayant en réalité jamais demandé de certification.
Finalement, le bouclier de protection est fendu par la CJUE, qui affirme dans son arrêt « Schrems II » que l’administration américaine n’assure pas un niveau de protection des données personnelles suffisant eu égard aux standards européens. La Cour met en avant une violation de droits fondamentaux des européens, par les entreprises américaines, qui, eut égard à certains programmes informatiques et sous couvert de « sécurité nationale », seraient en effet susceptibles de transférer, par le biais de clauses contractuelles, les données à caractère personnel des citoyens européen aux agences de surveillance américaines. Le juge pointe également la faiblesse des mécanismes de recours à disposition des citoyens européens mis en place par les américains, et un système de réparation difficilement applicable, critique qui avait déjà été émise par le G29, groupe rassemblant les différentes autorités de protection de la vie privée.
Alors désormais, et avant qu’un autre accord entre les deux grandes puissances soit négocié, que reste-t-il comme base légale aux entreprises souhaitant transférer les données de leurs utilisateurs, aux États Unis ? Le RGPD dans son Chapitre V consacré aux transferts de données à caractère personnel vers des pays tiers, prévoit, outre les « décisions d’adéquation » (que le « Privacy Shield » était) plusieurs mécanismes permettant aux entreprises de transférer des données aux Etats Unis, parmi lesquels les accords globaux d’entreprises ou « Binding Corporate Rules » prévus à l’article 47 du RGPD, ou encore les clauses contractuelles types, approuvées par la Commission européenne et prévues à l’article 46-2 du RGPD.
Ida Ponthieu
Sources
- Communiqué de presse n°91/20 de la CJUE : la Cour invalide la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier des données UE – Etats-Unis
- Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
- Le Monde : Max Schrems, le « gardien » des données personnelles qui fait trembler les géants du Web, Pixels, 5 octobre 2015
- CJUE, arrêt de la Cour (grande chambre) du 6 octobre 2015 Maximillian Schrems contre Data Protection Commissioner