Dernière étape en date du conflit juridique entre les États-Unis d’Amérique et l’Union Européenne, entre les lois de surveillance américaines et les lois protégeant la vie privée européennes, la CJUE a rendu un arrêt très attendu.
Les annonces de 2013
L’histoire commence en 2013. Souvenez-vous : Edward Snowden révèle les dessous des services de renseignement américains. Quelques mots-clé pour vous rafraîchir la mémoire : PRISM, UPSTREAM, NSA, FISA…
Le monde prend alors la mesure du système de surveillance quasi systématique opéré par les USA, et des atteintes à la vie privée des citoyens non-américains. Sans possibilité de recours effectif devant des tribunaux, c’est un point important pour l’Union Européenne.
La réponse s’organise alors, notamment dans l’UE. L’Union aura toujours, jusqu’à aujourd’hui, deux axes de réponse : un politique et un judiciaire.
Depuis 1995, l’UE s’est dotée d’une Directive de Protection des Données, aka Directive 95/46/EC, l’ancêtre du RGPD. C’est cette directive qui introduit le concept de « niveau de protection adéquat » des données personnelles. Le monde est ainsi divisé en trois : l’UE, les pays dits adéquats, et les autres ; en fonction de leur corpus législatif.
Les USA étaient dans la catégorie non-adéquat, c’est la réponse judiciaire. Seulement, politiquement, cela coinçait. Se mettre à dos les États-Unis n’était peut-être pas un mouvement sage diplomatiquement, et certainement pas au regard des services numériques qui allaient être de plus en plus utilisés par les citoyens européens. Il fallait trouver une porte de sortie.
Le Safe Harbor
C’est ainsi que le Safe Harbor est créé, conjointement avec le Département du Commerce des États-Unis, entre 1998 et 2000. Les entreprises américaines le souhaitant pouvaient se faire certifier, ou s’auto-certifier, chaque année pour attester qu’elles respectaient le droit européen en matière de protection des données à caractère personnel.
1 partout.
Ce système fonctionnera bon an, mal an pendant une quinzaine d’années. Jusqu’au 6 octobre 2015 précisément. Ce jour-là, saisie par Maximilian Schrems (un nom à retenir), la Cour de Justice de l’Union Européenne invalide le principe du Safe Harbor. La Cour rappelle que les États-Unis n’offrent pas un niveau de protection adéquat au regard de la Directive 95/46/EC, notamment parce que :
la législation permettant aux pouvoirs publics d’accéder de manière généralisée au contenu des communications électroniques doit être considérée comme compromettante pour l’essence même du droit fondamental au respect de la vie privée.
CJUE, C-362/14, 6 octobre 2015
Judiciaire : 2, Politique : 1. Et vous connaissez les politiques, ils ont horreur de rester sur une défaite. Et plus sérieusement, cet arrêt met un coup d’arrêt aux échanges numériques entre l’UE et les États-Unis, alors que Google, Facebook et consorts sont massivement utilisés.
Début 2016, un accord (politique) bipartite est trouvé, affirmant une équivalence des mesures de protection, et autorisant ainsi la reprise des activités normales. 2 partout.
Néanmoins, le groupe de travail de l’article 29 (qui regroupe notamment les CNIL européennes) estime qu’il reste des points majeurs de préoccupation et que la situation du moment n’est pas satisfaisante. L’accord politique sera donc complété par le Privacy Shield quelques mois plus tard.
Le Privacy Shield
Il s’agit d’une série d’engagements du gouvernement fédéral américains relatifs à la protection de la vie privée. Ces dispositions sont acceptées par la Commission européenne le 8 juillet 2016, qui (ré)affirme l’équivalence du niveau de protection entre les USA et l’UE.
Tout comme précédemment, les entreprises américaines peuvent déclarer s’engager à respecter les règles de cet accord. Les autorités américaines promettent à l’UE de réaliser des contrôles efficaces. Elles promettent également de limiter les cas où les services de renseignement pourront accéder aux données des citoyens européens aux seules raisons de sécurité nationale. Elles s’engagent également à ouvrir une voie de recours à ces mêmes citoyens : si Madame Michu estime que le gouvernement américain viole ses droits, elle peut s’adresser au gouvernement américain (au travers d’un ombudsperson) pour enquêter sur le gouvernement américain.
Maximillian Schrems dénoncera dès sa création ce framework. Il avancera, notamment, des doutes sur l’impartialité de l’ombudsperson, et l’éventail encore très large des possibilités que se laissent les renseignements américains.
Le Privacy Shield vivra lui aussi tant bien que mal, jusqu’au 16 juillet 2020. Dans sa décision C311-18, la CJUE prononce le décès du framework. Judiciaire 3 – 2 politique.
Cette décision fait suite à une plainte de Max Schrems (encore) contre Facebook Irlande. Il reprochait à la filiale européenne de transférer ses données personnelles vers Facebook Inc. au mépris de la législation européenne.
Je passe sur les péripéties de la procédure (elles sont décrites chez None of Your Business), mais la CJUE non contente d’invalider le Privacy Shield, rappelle également à l’ordre les CNIL nationales en signalant qu’elles sont tenues de faire respecter les règles.
Et maintenant ?
Et maintenant, la situation est un peu floue.
Les entreprises transférant des données personnelles aux USA sur la base du Privacy Shield uniquement sont désormais par défaut hors-la-loi, et s’exposent à des sanctions importantes.
Car entretemps, le RGPD est devenu applicable (25 mai 2018), et ce sont donc potentiellement 2 à 4% du chiffre d’affaires mondial consolidé qui sont en jeu. Il est toutefois, à mon humble avis, très peu probable qu’une quelconque autorité de protection des données prononce une sanction dans l’immédiat.
Pour la suite, toutes ces entreprises vont devoir rapidement s’adapter : soit en renonçant à ces transferts, soit en trouvant un autre instrument juridique pour les autoriser.
Et le RGPD en propose plusieurs dans ses articles 46, 47 et 49. Il s’agit :
- des Clauses Contractuelles Type (art. 46) – les SCC,
- des Règles d’Entreprise Contraignantes (art. 47) – les BCR,
- l’une des dérogations prévues à l’article 49, notamment le consentement préalable, explicite et éclairé de la personne concernée.
Dans la mesure où les deux premiers instruments peuvent être annulés par la CJUE (comme feu le Privacy Shield), et que les entreprises tombant dans le périmètre de la surveillance américaine ne sont pas éligibles aux Clauses Contractuelles Type (article 4 de la Décision 2010/87), je m’attends à une recrudescence de demandes de consentement.
Du côté des responsables de traitement, si la CNIL et les autres autorités nationales n’ont pas encore d’avis ni publié de directives, on peut d’ors-et-déjà prendre des actions :
- Identifier les traitements comportant un transfert vers les États-Unis. Cela devrait se faire assez simplement via le registre des traitements.
- Pour ces traitements, identifier l’instrument juridique encadrant le transfert et ne conserver que ceux reposant sur le Privacy Shield.
- Étudier si le transfert peut rentrer dans une des exemptions du RGPD, ou si d’autres instruments peuvent être applicables.
- Le cas échéant, envisager le rapatriement vers un pays adéquat ou adhérent à l’Union Européenne.
Et après ?
Les États-Unis font l’objet de la présente décision. Cela va nécessairement entraîner une réaction politique des deux côtés de l’Atlantique pour tenter de renormaliser les échanges de données.
Certains estiment que la CJUE vient de demander aux USA de revoir leur copie en matière de surveillance des réseaux.
D’autres pensent qu’une réplique commerciale sera envisagée par la Maison Blanche pour inciter la Commission européenne à reprendre le dessus.
Dans tous les cas, il est maintenant clair qu’une politique d’espionnage massif est contraire à ce qu’attend l’Union Européenne. La question d’autres pays va donc se poser : Russie, Chine, Australie… et pourquoi pas le Royaume-Uni après le Brexit ? certains de ces pays étant membres de l’alliance de renseignement Five Eyes…
Pour en savoir plus
La décision complète est disponible sur le site de la Cour de Justice de l’Union Européenne.
L’association None Of Your Business, indirectement à l’origine de la décision, a publié des ressources utiles :
Citons également une analyse du cabinet Mathias Avocat : « Invalidation du Privacy Shield, que retenir ? »