Vers un nouvel accord entre l’UE et les USA: le successeur de Privacy Shield

Mais d’abord, petit point sur l’historique….

Safe Harbor

Ce n’est pas la première fois que l’Union Européenne et les États-Unis concluent un accord pour organiser les transferts de données personnelles. 

Le 26 juillet 2000, fut signé l’accord Safe Harbor: un cadre juridique conclu entre le Département du commerce américain et la Commission européenne. Cet accord constituait l’une des bases juridiques permettant le transfert de données personnelles transatlantiques. Les entreprises américaines qui souhaitaient bénéficier du transfert de données personnelles issues de l’Union européenne devaient -théoriquement- assurer un niveau de protection adéquat des données traitées. Par adéquat, on entend un niveau de protection des libertés et droits fondamentaux équivalent à celui garanti au sein de l’Union Européenne en vertu de la Directive 95/46 et de la Charte des droits fondamentaux de l’Union Européenne. Selon un système d’auto-certification, les entreprises américaines pouvaient librement disposer de ces données personnelles, à condition de fournir un niveau de protection au moins équivalent à celui garanti par l’Union européenne.

C’est en 2015 que cet accord fut invalidé par la CJUE, dans l’arrêt Schrems (CJUE, 6 octobre 2015, Aff. C‑362/14). Et pour cause, le Safe Harbor (ou sphère de sécurité en français), qui promet un niveau de protection adéquat, ne prévoit aucune exception à son application. 

Or, les autorités américaines admettent, selon leur ordre juridique, la primauté de la législation américaine, et l’inopposabilité des normes du Safe Harbor qui pourraient être contraire à leur législation. Pour des raisons de sécurité publique, d’intérêt général, ou de respect de la loi, les entreprises certifiées pouvaient octroyer un accès aux autorités américaines aux données personnelles des citoyens européens. Cette intervention massive et indifférenciée sur ces données est contraire aux principes mentionnés dans la Charte des droits fondamentaux. De plus, il a été mis en exergue auprès de la CJUE que les justiciables européens ne disposaient d’aucun moyen de défense contre cette atteinte à leurs droits. En somme, la Commission européenne, à l’origine de l’accord, n’avait pas veillé à l’effectivité constante du niveau de protection. En l’espèce, ce n’était plus le cas: les États-Unis ne fournissaient pas, ou du moins plus de protection adéquate, et il était reproché le manque de recours possible pour le citoyen européen. C’est pour ces raisons que la CJUE a décidé d’invalider Safe Harbor. Ainsi, cette base juridique n’était plus opposable pour justifier des transferts de données transatlantiques.

Privacy Shield

Après l’échec et l’invalidation de Safe Harbor, Bruxelles et Washington ont tenté de trouver un nouvel accord: Privacy Shield. Signé le 12 juillet 2016, cet accord organise les transferts de données entre l’Union Européenne et les États-Unis. Afin de garantir son efficacité et son effectivité, cet accord fut construit en parallèle des observations du G29, groupe de travail constitué par l’ensemble des autorités nationales de protection des données personnelles. Ce dispositif admet un niveau de protection « essentiellement équivalent » aux exigences européennes pour les entreprises certifiées. Il prévoit plusieurs droits et principes: un droit à l’information et à la divulgation, un principe de transparence, un droit d’opposition, un principe de limitation selon la finalité,  un droit de rectification, un droit de suppression, un principe de conservation des données, ainsi que des procédures de recours.

Ce mécanisme est moins déclaratif et la certification est plus contrôlée. Dès qu’une entreprise souhaite être certifiée comme conforme au Privacy Shield, le ministère américain du commerce effectue une vérification. De plus, sont introduits les principes de nécessité et de proportionnalité quant à la surveillance et l’accès à ces données par les autorités américaines pour les enjeux de sécurité publique et d’intérêt général, ce qui faisait défaut à Safe Harbor. Ces principes de nécessité et de proportionnalité seront évalués par un médiateur (l’ombusdperson). Ce médiateur sera également chargé de traiter les recours des citoyens européens, recours qu’ils pourront exercer auprès de leur autorité nationale compétente en matière de données (c’est-à-dire les différents homologues européens de la CNIL). Enfin, il est prévu que l’efficacité du Privacy Shield soit évaluée annuellement.

La plupart des opposants voient en cet accord un potentiel échec, de par sa similarité avec le Safe Harbor et de par les questionnements sur l’impartialité de l’ombusdperson. L’opinion publique regrette un manque d’ambition de l’Union européenne, un manque de coercition, d’indépendance européenne de ce nouvel accord.

Le 16 juillet 2020, dans le célèbre arrêt Schrems II, Maximilian Schrems accusait Facebook Int. de ne pas respecter la protection des données personnelles après les révélations d’Edward Snowden de 2013. Les outils de surveillance et de communication électronique utilisés par les USA ne sont pas conformes au RGPD, entré en vigueur en 2018. La CJUE rappelle un principe fondamental: pour pouvoir exporter les données hors de l’UE : les entreprises doivent s’assurer de fournir un niveau de protection des données personnelles équivalent à celui fourni par le RGPD. Or, Facebook Int. n’a pas réussi à fournir ce niveau de protection. Résultat: la CJUE invalide le Privacy Shield, supprimant ainsi la base légale et la certification de près de 5300 entreprises, qui ont dû expressément rapatrier leurs données personnelles en Europe.

Le nouvel accord 

Le 25 mars dernier, Ursula von der Leyen, Présidente de la Commission européenne, tweetait après sa rencontre avec Joe Biden la conclusion d’un nouvel accord de principe entre les deux puissances économiques après 1 an de négociations.

Traduction: “Ravie d’avoir pu convenir d’un accord sur un principe d’un nouveau cadre juridique pour les transferts de données transatlantiques. Cela va permettre des transferts  de données prévisibles et de confiance, alliant sécurité, droit à la vie privée et protection des données. C’est une nouvelle étape dans le renforcement de notre partenariat.”

La Maison Blanche également, a évoqué cet accord, via un communiqué: “Le nouveau cadre transatlantique de confidentialité des données souligne notre engagement commun envers la confidentialité, la protection des données, l’état de droit et notre sécurité collective, ainsi que notre reconnaissance mutuelle de l’importance des flux de données transatlantiques pour nos citoyens, nos économies et nos sociétés respectives.” 

Découvrez en quelques lignes les 4 principes clés de ce nouvel accord: 

• ︎ Une nouvelle réglementation concernant le risque d’usage des outils de surveillance des communications électroniques. Désormais, les autorités américaines devront évaluer le principe de nécessité et de proportionnalité d’atteinte à leur sécurité nationale grâce à de nouvelles procédures qui s’assureront de respecter la vie privée et la liberté des citoyens européens avant d’initier une surveillance. 
• Un nouveau procédé à 2 niveaux pour traiter les plaintes des citoyens européens quant à l’accès de leurs données par les autorités américaines 
• Une réglementation conséquente et contraignante pour les entreprises américaines hébergeant des données de citoyens européens et la création d’une certification vérifiée par le Département du Commerce Américain.
• Une plus vaste surveillance et une révision des mécanismes préexistants 

Pour le moment, nous ne disposons pas d’autres informations quant à cet accord, censé favoriser le flux des données transatlantiques. Nous pouvons cependant nous intéresser aux conséquences que son adoption pourrait engendrer. 

Conséquences

Ce nouvel accord, qui représente environ 900 milliards de € de commerce transfrontalier par année, est supposé garantir des transferts sûrs et sécurisés des données personnelles des citoyens européens. 

Grâce à ce dernier, la présidente de la commission européenne et le président américain espèrent une protection adéquate des données personnelles des européens transférées aux Etats-Unis, conformément à la jurisprudence en vigueur, c’est-à-dire un niveau de protection équivalent à celui accordé par le RGPD. Cette nouvelle base juridique saurait être une base fiable et durable, qui permettrait d’augmenter la compétitivité de l’économie digitale entre et la coopération économique entre l’Europe et les États-Unis.

Cet accord pourrait notamment remettre en cause certaines décisions, comme celle de la CNIL concernant Google Analytics. En effet, la CNIL avait utilisé comme argument lors de la condamnation du géant américain l’absence de décision d’adéquation européenne. Avec ce nouvel accord, cette décision risque d’être ré-appréciée, et les offices de protection des données personnelles risquent de devoir revoir leurs appréciations.

Réactions 

Ursula Von Der Leyen se dit ravie d’un tel accord ; elle évoque notamment un partenariat renforcé et l’établissement de transferts de confiance. La Maison Blanche, dans son communiqué, semble traduire un sentiment d’optimisme à l’égard de cette collaboration.

Ce sentiment de satisfaction semble être partagé, comme en atteste ce communiqué du porte-parole de Google: “Les internautes veulent pouvoir utiliser les services numériques n’importe où dans le monde et savoir que leurs informations sont en sécurité et protégées lorsqu’elles circulent à travers les frontières. Nous saluons les efforts entrepris par la Commission européenne et le gouvernement américain afin de s’accorder sur un nouveau cadre US-UE et protéger les transferts de données transatlantiques”. 

Il n’est pas incohérent de penser que ce sentiment est partagé par les autres GAFA, tels que Facebook et Whatsapp, du groupe Meta, qui furent très récemment condamnés par les CNIL européennes, et pour qui cet accord pourrait changer la donne.

Pour d’autres, cet accord est perçu avec beaucoup plus de scepticisme. Cet accord, déjà surnommé Schrems III, est perçu par beaucoup d’internautes comme un futur échec, tant les États-Unis ne sembleraient pas prêts à offrir une protection équivalente à celle allouée par le RGPD. Alors que les citoyens européens prennent conscience progressivement de l’enjeu des données personnelles, le doute persiste quant à la transparence, et finalement la réelle nouveauté de cet accord. Qu’apporte-t-il de plus ? Garantit-il une réelle protection ? Comment s’assurer de sa réelle effectivité ? En l’absence de précisions, l’heure est plutôt au pessimisme qu’au soutien.

Schrems, dont le nom ne vous est sûrement pas inconnu notamment grâce aux arrêts Schrems et Schrems II, a également tenu à partager sa réaction sous le tweet de la présidente de la Commission Européenne. Pour connaître son avis (bien tranché) sur la question: « Privacy Shield 2.0 »? – First Reaction by Max Schrems. 

Conclusion

Bien que les réactions soient partagées, et que l’accord ne soit pas réellement finalisé, il est indéniable qu’il bousculera la scène européenne. Que peut-on alors vraiment espérer de ce nouvel accord ? Devons nous croire à la création d’une base juridique pérenne ? Les entreprises américaines accorderont-elles une protection aussi certaine que celle allouée par le RGPD ? Quel sera le calendrier de mise en conformité des entreprises ? Tant de questions dont nous n’avons pas les réponses pour l’instant.