EU-US Privacy Shield : Il est urgent d'attendre avant de s'y référer pour le transfert des données personnelles
Le numérique ne bouleverse pas que les business models. Pour le prendre en compte, les règles et les lois sont elles aussi en pleine mutation. Chaque semaine, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour nous fournir des clés pour déchiffrer les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée... Aujourd’hui, regard sur le projet d'accord "EU-US Privacy Shield" , qui remplace le Safe Harbor pour réglementer les transferts de données entre l'Europe et les Etats-Unis.
Le problème
Le Safe Harbor ou "sphère de sécurité" était censé garantir que les données personnelles des citoyens européens bénéficient de la même protection sur le territoire américain que celle en vigueur au sein de l’espace européen. Concrètement, cette décision [dite décision d’adéquation] adoptée par la Commission européenne en 2000 permettait aux entreprises françaises de transférer leurs données vers des entreprises américaines très largement incontournables (doit-on ici rappeler que les principaux prestataires de Cloud, Google et Apple ou IBM figurent parmi les 4.000 sociétés concernées ?).
A l’origine du problème
L’invalidation du Safe Harbor par la Cour de Justice de l'Union Européenne le 6 octobre 2015 remet en cause le libre transfert des données personnelles vers les US (qui sévit depuis plus de 15 ans…). En France, comme dans les autres Etats membres, les entreprises doivent donc revenir à l’encadrement drastique de leurs flux sortants de données vers les Etats tiers [lire : les Etats qui ne présentent pas une protection jugée adéquate par la Commission européenne]. Ainsi : pas d’exportation de données vers ces Etats sans autorisation préalable de la CNIL et obligation de recourir à des mécanismes de protection (clauses contractuelles types signées par les parties ou règles contraignantes d’entreprises i.e "Binding Corporate Rules").
La réalité du problème
La protection des données des citoyens européens ne s’est avérée d’aucune efficacité contre la surveillance de masse qui a été réalisée par les services de renseignement américains (notamment la NSA), ce type d’accès ayant été très largement cautionné par la législation américaine (dont les FISA, Patriot Act, Freedom Act).
Les conséquences
Faisant suite à l’ultimatum fixé pour fin janvier 2016 par le G29 (l’organe consultatif européen qui rassemble toutes les autorités chargées de la protection des données en Europe), la Commission européenne a annoncé l’adoption d’un accord politique entre le gouvernement américain et l’Europe, "just in time" : le "EU/US Privacy Shield", censé garantir la protection des données personnelles des citoyens européens outre Atlantique.
Le "EU-US Privacy Shield" est supposé prévoir diverses garanties dont : l’obligation pour les entreprises importatrices de respecter leurs engagements pour la protection des données sous le contrôle de la Federal Trade Commission (sous peine de sanctions), la mise en place de voies de recours pour les citoyens européens (notamment la création d’un médiateur), le réexamen annuel de l’accord et surtout, l’engagement écrit des Etats-Unis de proscrire l’accès aux données des citoyens européens sans limite et en dehors de tout contrôle judiciaire (ce qui se pratique actuellement).
des doutes légitimes sur l'accord
Des doutes légitimes ont été exprimés au lendemain de la communication de la Commission européenne car aucun document formel sur le contenu des obligations du "EU-US Privacy Shield" n’a été communiqué au G29 aux fins de vérifications. Pour rappel, il n’existe aucune disposition en droit américain ou réglementation actuelle ou en projet pour garantir la proportionnalité des accès aux données des citoyens européens, ni pour leur permettre d’exercer un recours en cas d’accès illégitime (surveillance hors contrôle judiciaire). Alors, simple effet d’annonce ?
Les risques pour les entreprises exportatrices de données ont trait aux possibilités qui leur sont laissées aujourd’hui - c'est-à-dire depuis l’invalidation du Safe Harbor - pour envoyer des données à caractère personnel vers les Etats-Unis. De fait, les mécanismes de transfert de données, telles les règles d'entreprise contraignantes et les clauses contractuelles types, constituent des solutions alternatives à l’adoption d’un cadre réellement protecteur.
Urgent d'attendre avant de s'y référer
Les entreprises peuvent continuer d’y recourir pour couvrir légalement leurs transferts, tant qu’aucune décision n’aura été prise sur le sort (validation ou non) du "EU-US Privacy Shield". En tout état de cause, avant son auscultation par le G29, il est déconseillé de se référer à cet accord pour transférer des données. Et surtout, il plane une réelle insécurité juridique car rien ne saurait garantir que les entreprises soient autorisées à transférer des données sur la base de règles d'entreprise contraignantes ou de clauses contractuelles types à l’avenir. De là à purement interdire les transferts de données vers les Etats-Unis, il semble n’y avoir qu’un pas…
Alors, oui ! On pourrait craindre une "US arlésienne" mais on pourrait tout aussi bien avoir peur du délicat mariage entre le bison et la grenouille … Wait and see !
Isabelle Cantero, Avocat, spécialisée en vie privée et protection des données personnelles
SUR LE MÊME SUJET
1Commentaire
Réagir
