1 / Genèse de l’invalidation
A l’origine de ce coup de tonnerre, un étudiant autrichien, Maximillian Schrem, ayant réussi depuis maintenant plusieurs années à médiatiser sa cause : celle de la protection de ses données personnelles. Utilisateur de Facebook depuis 2008 comme des millions d’européens, Mr Schrem a décidé d’agir dès 2013 en déposant plainte auprès de l’autorité irlandaise de protection des données.
Partant du constat que la filiale irlandaise de Facebook transfère tout ou partie des données collectées de ses utilisateurs européens sur des serveurs situés aux Etats-Unis, Mr Schrem considérait que les États-Unis n’offraient aucune protection réelle contre la surveillance, par l’État américain, des données transférées vers ce pays. En conséquence de quoi, les États-Unis n’assuraient pas un niveau adéquat de protection aux données à caractère personnel transférées.
L’autorité de contrôle irlandaise ayant rejeté sa plainte, M. Schrems a alors introduit un recours devant la High Court (Haute Cour de justice). Si celle-ci a reconnu que la surveillance américaine répondait à des finalités nécessaires et indispensables à l’intérêt public, elle a néanmoins retenu des « excès considérables ». La Haute Cour de justice, considérant que cette affaire concernait la mise en œuvre du droit de l’Union européenne, décida de surseoir à statuer et de poser à la CJUE deux questions préjudicielles.
C’est dans ce contexte que par un arrêt du 6 octobre 2015 d’une trentaine de pages, la CJUE estime, en suivant les conclusions de l’Avocat général Yves Bot, que le Safe Harbor n’est pas conforme au droit européen. En conséquence, ce dernier est invalidé. La Cour a notamment estimé que les voies de recours des ressortissants s’estimant lésés sont insuffisantes. Elle juge également que les programmes de surveillance de masse des Etats-Unis sont incompatibles avec une protection adéquate des droits des citoyens européens.
2 / Le fonctionnement du Safe Harbor
Le Safe Harbor est un ensemble de principes relatifs à la protection des données à caractère personnel auquel les entreprises adhèrent volontairement et qui sert de fondement au transfert de DCP de l’UE vers les Etats-Unis. Ces principes furent négociés au début des années 2000 entre la Commission européenne et le Département du Commerce américain.
En théorie, l’adhésion d’une entreprise au Safe Harbor présume qu’elle appliquera un niveau de protection des DCP aux Etats-Unis équivalent à celui imposé dans l’UE. Pour cela, les adhérents sont soumis à des règles principalement basées sur celles de la Directive 95/46 du 24 octobre 1995 : obligation d’information des personnes, de sécurisation des données, reconnaissance du droit des personnes (accès, opposition, etc.), …
En pratique, les entreprises peuvent s’auto-certifier, ce qui ne joue pas en faveur de la crédibilité de cet accord. En outre, une clause du Safe Habor permet aux autorités américaines d’accéder, en cas de menace pour leur sécurité nationale, aux données à caractère personnel des citoyens de l’UE. Suite aux révélations de l’affaire Snowden sur l’espionnage de masse organisé par la NSA, il devenait de plus en plus perceptible que le « niveau de protection équivalent » s’effritait. C’est notamment dans ce contexte que des discussions avaient été engagées entre Européens et Américains afin de parvenir à un accord « Safe Harbor 2 », discussions qui n’ont pour le moment pas abouti.
3 / L’intérêt pratique du Safe Harbor
Le Safe Harbor présentait un avantage essentiel : celui de permettre le transfert de données hors Union Européenne, vers un pays n’offrant pas un niveau de protection des données à caractère personnel équivalent à l’EU, ie les Etats-Unis, sans avoir à obtenir une autorisation de la part de la Commission Nationale de l’Informatique et des Libertés (CNIL).
Rappelons en effet que par principe, les transferts de DCP hors du territoire de l’UE sont interdits à moins que le pays ou le destinataire n’assure un niveau de protection suffisant (article 68 de la loi n°78-17 du 6 janvier 1978). Seules les formalités relevant du traitement principal devaient être effectuées.
C’est ainsi que de nombreuses entreprises fondaient jusqu’à présent leurs transferts de DCP collectées en Europe vers les Etats-Unis sur le Safe Harbor. Tel est par exemple le cas, à l’instant ou ces lignes sont rédigées, de Facebook ou d’Amazon qui le mentionnent dans leurs chartes de protection des données.
Suite à l’invalidation du Safe Harbor par la CJUE, ce sont donc de nouveaux fondements que ces entreprises vont devoir utiliser afin de légitimer leurs transferts.
4 / Les solutions juridiques alternatives au Safe Harbor
Le Safe Harbor n’était pas la seule manière de transférer légalement des données de l’UE vers les Etats-Unis. Ce sont désormais vers ces solutions de contournement que les entreprises vont devoir se tourner. Elles sont au nombre de trois : clauses contractuelles types, règles internes d’entreprises et exception de l’article 69.
a) Les Clauses Contractuelles Types
Principalement destinées aux relations entre professionnels et entre professionnels et sous-traitants, les Clauses Contractuelles Types (CCT) sont des modèles de contrats de transfert adoptés par la Commission européenne. Une fois signées entre les parties, ces Clauses permettent le transfert de données hors Union Européenne, et donc vers les Etats-Unis, dans le cadre de la relation contractuelle entre les professionnels concernés.
Les formalités à accomplir auprès de la CNIL dépendent alors du régime juridique applicable au traitement principal tout en précisant sur la formalité qu’un transfert vers un Etat non-membre est envisagé et qu’à cet effet des CCT ont été signées. Les CCT doivent par la suite être mises à disposition de la CNIL.
Simples à mettre en place dans la pratique, ces clauses s’avèrent inefficaces pour des entreprises comme Facebook ou Google qui ne contractualisent pas avec leurs utilisateurs non professionnels. Elles devront donc opter pour une solution alternative.
b) Les règles internes d’entreprises (BCR)
Les BCR (Binding Corporate Rules) sont des codes de conduite qui définissent la politique globale d’une entreprise en matière de transfert de données à caractère personnel hors de l’Union Européenne. Les BCR permettent d’assurer un niveau de protection adéquat aux données transférées hors UE.
Particulièrement adaptées aux multinationales ayant des rapports B to C et souhaitant transférer des données à caractère personnel de l’UE vers les Etats-Unis, la mise en place de BCR reste bien plus contraignante que l’adhésion au simple Safe Harbor. Elle constitue cependant la solution transitoire la plus pertinente pour des sociétés de type GAFA (Google, Apple, Facebook, Amazon).
Afin d’adopter des BCR, l’entreprise ou le groupe doit dans un premier temps désigner une autorité européenne de protection des données dite « chef de file » qui sera en charge de la procédure de coopération avec les autres autorités de contrôle européennes. Cette procédure permet ainsi dans le cadre d’une même action de disposer d’une autorisation unique de transfert de données à caractère personnel venant d’Etats membres vers un pays tiers au sein d’une même entreprise ou d’un même groupe.
Dans un second temps, l’entreprise doit préparer un projet de rédaction de BCR destiné à être présenté aux autorités de contrôle. S’il est accepté, il donne lieu à une autorisation unique de l’autorité « chef de file », qui sera mutuellement reconnue par les autres autorités.
La mise en place de BCR reste encore peu courante, comme en témoigne la liste des entreprises dont la procédure est aujourd’hui clôturée (moins d’une centaine). Cela s’explique par la procédure devant être mise en œuvre mais également par les engagements devant être pris. La mise en place de BCR suppose par exemple un régime de responsabilité pesant sur le siège européen ou sur la filiale européenne responsable par délégation de la protection des données.
c) Les exceptions de l’article 69
La loi n°78-17 du 6 janvier 1978 modifiée dite Informatique & Libertés prévoit en son article 69 des exceptions au principe d’interdiction de transfert de données hors UE. L’application de ces exceptions doit cependant rester ponctuelle et exceptionnelle selon les recommandations du G29 ce qui exclut leurs utilisations par de grandes multinationales ayant des transferts récurrents.
Au titre des exceptions, la plus notable est certainement celle du consentement donné (clair, libre et éclairé) par la personne dont les données sont transférées. On retrouve également pour l’essentiel des exceptions au titre de la sauvegarde de la vie de la personne, de la sauvegarde de l’intérêt public, de l’exercice d’un droit en justice, de la bonne exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable de traitement et un tiers, etc.
5 / L’avenir du transfert de données vers les Etats-Unis
Les transferts ne vont bien entendu pas cesser du jour au lendemain et la seule invalidation de l’accord Safe Harbor par la CJUE ne modifiera pas des dizaines d’années de pratique. Les infrastructures et les mesures organisationnelles ne pourraient de toute façon pas suivre. La décision de la CJUE trouve donc ici toutes ses limites.
De nombreuses multinationales sont aujourd’hui concernées par cette invalidation (environ 4 000 sociétés). Ces dernières vont dès lors devoir soit se tourner vers les solutions juridiques alternatives énumérées ci-dessus, soit stopper leurs transferts vers les Etats-Unis, soit attendre l’issue des négociations relatives à l’adoption d’un « Safe Harbor 2 » tout en appréciant les risques afférents dans cet intervalle de temps.
L’association professionnelle Digital Europe, qui regroupe des grands acteurs internationaux (Apple, Google, Cisco, Microsoft, etc.), a d’ores et déjà sollicité la Commission européenne afin d’obtenir des explications quant au maintien des activités des entreprises qui utilisaient jusqu’à présent le Safe Harbor. La décision de la CJUE n’est certainement qu’une première étape vers l’émergence d’un nouveau dispositif de transfert de données vers les Etats-Unis, dispositif qui se voudra plus protecteur mais toujours lié aux impératifs d’un marché mondialisé.
Discussions en cours :
Juste un bref message de félicitations, pour cet article que j’aurais bien aimé écrire avant vous ...
Quant à la décision, elle me semble particulièrement favorable pour le cloud souverain et les entreprises assez solides pour s’offrir BCR ou CCT ... Faut-il s’en réjouir ?
Bonjour,
Je vous remercie pour votre commentaire.
Ma conviction me porte à penser que cette décision pouvant sembler aux premiers abords favorable à du cloud souverain ne le sera pas réellement en pratique. D’autant moins si vous évoquez par là l’ex-projet Andromède, qui souffre d’une mauvaise conception initiale.
Il faut en effet rappeler que cette décision n’est pas plus favorable à du cloud français que du cloud italien, suédois ou autrichien, en somme du cloud de l’Union Européenne. Le jeu de la concurrence va donc continuer à s’opérer.
Cette affirmation se retrouve d’autant plus renforcée que, comme affirmé dans l’article, la suspension du Safe Harbor ne changera pas les pratiques du jour au lendemain. Les acteurs américains ne vont pas stopper leurs activités !
Quant à la favorisation des entreprises "solides", c’est une réalité qui se retranscrit là dans beaucoup de secteurs dès lors que des sociétés se voient imposées des contraintes règlementaires. C’est bien souvent une nécessité protectrice qui ne soit pas tomber dans l’excès sous peine de fausser le jeu de la concurrence.