15 ans après son adoption par la Commission européenne, l’accord Safe Harbor a été annulé en Octobre dernier par la Cour de Justice de l’Union Européenne. C’est ainsi plus d’une décennie de déclarations et récépissés CNIL qui a été invalidée, et autant d’années de transferts internationaux encourent théoriquement des sanctions pénales.
Sous la pression d’une deadline très serrée, la Commission européenne a présenté mardi au Parlement européen le nouveau Privacy Shield, successeur du Safe Harbor.
Dans l’attente de l’analyse de ce nouvel accord – et d’une éventuelle décision d’adéquation qui pourrait prendre plusieurs semaines – les CNIL européennes ont annoncé avec pragmatisme que les entreprises pourraient continuer à exporter et traiter des données de citoyens européens aux États-Unis, en rappelant toutefois que l’ensemble de ces transferts sont illicites à l’heure actuelle…
Depuis le 6 Octobre 2015, les transferts de données personnelles Outre-Atlantique opérés sur la base du Safe Harbor sont illégaux.
A l’origine de ce revirement, un arrêt de la Cour de Justice de l’Union Européenne[1] qui, à la suite d’une plainte déposée par un militant autrichien contre la filiale européenne de Facebook en Irlande, invalide la décision de la Commission européenne à l’origine de ce mécanisme d’adéquation[2], jusqu’alors largement répandu.
Bien qu’elle ne soit pas surprenante, cette situation est source d’une grande insécurité juridique, et a poussé la CNIL et ses homologues européens à se réunir dès le 15 Octobre 2015, afin d’étudier les conséquences et implications du séisme déclenché par la Cour de Justice. Au terme de leur communiqué publié le lendemain, les autorités européennes de protection des données enjoignent les institutions et gouvernements concernés à « agir sous trois mois » afin de trouver des solutions juridiques et techniques avant le 31 Janvier 2016.
Avec beaucoup de difficultés, la Commission européenne a finalement pu annoncer fièrement le Privacy Shield, nouvel accord négocié avec les Etats-Unis et censé combler les lacunes de son prédécesseur. S’il faudra encore attendre plusieurs semaines d’examen avant d’espérer un retour à la stabilité, les CNIL européennes ont néanmoins annoncé que « dans l’intervalle, nous considérons qu’il est toujours possible d’utiliser les mécanismes de transferts existants ».
***
Pour mémoire, les transferts de donnée personnelles opérés depuis le territoire européen à destination de pays situés en dehors de l’Union européenne – en l’occurrence les Etats-Unis – sont en principe interdits, à moins que « le pays tiers en question assure un niveau de protection adéquat »[3].
Le mécanisme du Safe Harbor emportait jusqu’à présent présomption de ce niveau de sécurité adéquat, et permettait aux quelques 5 000 entreprises américaines y ayant adhéré de recevoir des données personnelles en provenance de l’Europe.
Cependant, plusieurs mois après les premières révélations d’Edward Snowden sur les programmes de surveillance de masse des renseignements américains, la décision de la Cour de Justice est venue éclater cette « sphère de sécurité ». Son raisonnement est catégorique : « une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques » et « ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données » doit être considérée comme portant atteinte aux droits au respect de la vie privée et à une protection juridictionnelle effective, droits garantis respectivement par les articles 7 et 47 de la Charte des droits fondamentaux de l’Union Européenne[4].
Ce raisonnement explique également pourquoi, malgré l’annonce d’un nouvel accord, la situation reste incertaine.
Au cœur du problème, la possibilité pour les citoyens européens de porter plainte devant les tribunaux américains en cas d’exploitation abusive de leurs données personnelles. Afin de satisfaire à cette exigence, le Sénat américain a voté le 28 Janvier dernier une loi spéciale, le Judicial Redress Act. A cette occasion, le Sénat a toutefois proposé un amendement susceptible de rendre vain tout accord. Dans sa version actuelle, le texte spécifie ainsi que les politiques de pays étrangers en matière de transferts de données personnelles à des fins commerciales ne peuvent entraver les intérêts de sécurité nationale des Etats-Unis[5], et donc, l’action des renseignements.
***
Si la situation est toujours incertaine, il existe néanmoins d’autres outils de transfert de données pouvant être utilisés légalement, du moins pour l’instant : les Binding Corporate Rules (BCR) et les Clauses contractuelles type (CCT).
Ces outils subsistent aujourd’hui de manière temporaire, pour éviter une situation de blocage alors que le Privacy Shield est encore à l’étude.
Les BCR constituent un code de conduite adopté par une entreprise et définissant sa politique en matière de transfert de données. Par nature, ils sont contraignants et peuvent servir de base aux échanges de données internes entre entreprises d’un même groupe, lorsque l’une des entreprises est située en dehors de l’Union européenne. Au terme de ces BCR (rédigés par les entreprises et validés par les autorités européennes de protection des données à l’issu un processus pouvant s’étendre sur plusieurs mois), l’entreprise qui les met en œuvre s’engage à développer toute une série de dispositifs internes, et notamment (i) un régime de responsabilité (pesant la plupart du temps sur le siège européen ou la filiale européenne responsable par délégation de la protection des données), (ii) une procédure de formation du personnel, (iii) ainsi qu’une procédure interne de gestion des plaintes.
Plus opérationnelles à court terme que les BCR, les CCT n’ont pas besoin d’être transmises à la CNIL, puisqu’il s’agit de modèles de clauses contractuelles déjà adoptées par la Commission européenne. Afin d’encadrer les transferts de données en dehors de l’Union européenne, ces clauses doivent être signées à chaque transfert. Il en existe aujourd’hui trois : deux ont vocation à encadrer les transferts de données entre responsables de traitement, et diffèrent essentiellement au regard de leur clause de responsabilité, tandis que la troisième, modifiée en 2010, s’intéresse aux transferts de données de responsable de traitement à sous-traitant.
A noter qu’il n’est pas interdit d’apporter des modifications à ces clauses. Dans ce cas toutefois, il sera de nouveau nécessaire de les soumettre à la validation des autorités européennes de protection des données.
***
Face à cette instabilité, l’ensemble des autorités européennes de protection des données a choisi d’offrir un peu de répit aux entreprises, en les autorisant à continuer les transferts et à recourir aux mécanismes alternatifs.
Cependant, il reste primordial pour les entreprises européennes de faire le point sur le traitement des données qu’elles collectent, dans la mesure où le risque ne vient pas seulement des CNIL, mais peut émaner par exemple de consommateurs ou d’associations. Pour prévenir les problèmes, une série de questions. Les données recueillies sont-elles exportées à l’étranger et, le cas échant, de quel type de données s’agit-il ? Quelles sécurités et garanties encadrent ces transferts ? Que faire des données traitées aux Etats-Unis et tributaires d’un récépissé CNIL antérieur à Octobre 2015 et obtenu sur la base d’un certificat Safe Harbor ? Comment mettre en place une gestion alternative de ces transferts, que ce soit sur la base de BCR ou de CCT ?
Avec l’aide de leur conseil, toutes les entreprises concernées se doivent donc d’analyser leur situation et de réfléchir aux solutions envisageables, que ce soit sur le court terme ou, en fonction du l’avenir du Privacy Shield, sur le long terme.
Affaire à suivre de près dans les semaines à venir…
Si vous avez des questions sur la thématique de la protection des données, n’hésitez pas à contacter Caroline Jouven, Conseil en propriété industielle chez Inlex IP Expertise Paris
Caroline Jouven et Selma Ferfera
Inlex IP Expertise
[1] CJUE 6 oct. 2015, aff. C-362/14, M. Schrems c/ Data Protection Commissioner
[2] Décision 2000/520/CE du 26 juil. 2000
[3] Directive 95/46/CE, article 25
[4] CJUE 6 oct. 2015, pts 94 et 95
[5] “in order to qualify as a covered country, a foreign country must permit commercial data transfers with the United States and may not impede the national security interests of the United States” – http://www.judiciary.senate.gov/imo/media/doc/H.R.1428%20Cornyn1%20-%20OLL16053.pdf