Aller au contenu
United States of Security

Décision d’adéquation pour les USA

·1908 mots·9 mins·
Sécurité IT CJUE CNIL Commission Européenne Données Personnelles GAFAM Privacy Shield RGPD Schrems Trans-Atlantic Data Privacy Framework
Auteur
Cyril Amar
RSSI la journée, secouriste la nuit, un peu de protection des données personnelles entre les deux.
Sommaire
Protection des données et USA - Cet article fait partie d'une série.

On l’attendait depuis l’arrêt Schrems II, rendant les transferts de données personnelles aux USA illégaux : la Commission européenne a rendu une décision d’adéquation des USA, sous conditions. Véritable avancée ou nuage de fumée ?

Quelques rappels historiques

La relation avec les États-Unis est complexe en matière de données personnelles, depuis au moins 1998.

Le Safe Harbor

Car en octobre 1998 entre en vigueur la Directive 95/46/CE sur la protection des données personnelles. Cette Directive interdisait le transfert de DCP vers des pays non membres de l’EEE si le cadre juridique local ne permet pas d’atteindre au moins le niveau de protection de l’EEE. C’est notamment le cas pour les États-Unis, ce qui a poussé les USA (via le département du Commerce) et l’Union Européenne (via la Commission) à élaborer un ensemble de règles permettant aux entreprises américaines de continuer à importer des DCP européennes, et donc aux entreprises européennes de continuer à contractualiser avec elles. Ces dispositions formaient le Safe Harbor, pour lequel les entreprises américaines devaient se faire certifier régulièrement.

Seulement, à la demande de Maximillian Schrems (déjà !), la Cour de Justice de l’Union Européenne invalide le Safe Harbor. En cause : le niveau de sécurité des données jugé insuffisant. La Cour rappelle que « la législation permettant aux pouvoirs publics d’accéder de manière généralisée au contenu des communications électroniques doit être considérée comme compromettante pour l’essence même du droit fondamental au respect de la vie privée ». On était alors le 6 octobre 2015, c’est l’arrêt Schrems I1.

Gardez en tête la justification de la CJUE, elle reviendra régulièrement.

Le Privacy Shield

Avec le développement du cloud et de manière générale de la société de l’information numérique, dont les principaux fournisseurs sont américains, il était urgent de trouver un palliatif à cette invalidation. Ce sera chose faite 9 mois plus tard, le 12 juillet 2016. « Les garanties pour le transfert des données sur la base de la nouvelle protection des données UE-États-Unis protègent selon les normes de protection des données dans l’U.E. » dit alors la Commission européenne, dans sa décision d’approbation du Privacy Shield.

Logo du Privacy Shield

Je renvoie le lecteur intéressés à deux précédents articles sur le sujet : Du Safe Harbor au Privacy Shield épisode 1 et épisode 2.

Seulement, à la demande de Maximillian Schrems (toujours !), la Cour de Justice de l’Union Européenne invalide le Privacy Shield. En cause : le niveau de sécurité des données jugé insuffisant. La Cour se base sur le fait que la législation permettant aux pouvoirs publics d’accéder de manière généralisée au contenu des communications électroniques doit être considérée comme compromettante pour l’essence même du droit fondamental au respect de la vie privée. On était alors le 16 juillet 2020, c’est l’arrêt Schrems II.

Un sentiment de déjà vu ?

Depuis 2020 : ceinture !

Dès lors, plus aucun transfert de données à caractère personnel vers les États-Unis (ou, plus largement, vers une société couverte par le CLOUD Act2) n’est autorisé. L’impact est immense : exit Amazon Web Services (AWS), Google Workspace, Microsoft Azure, mais aussi la plupart des fournisseurs de services « transparents » utilisés en Europe : Stripe pour les paiements par carte bancaire, CloudFlare pour la diffusion de contenu, etc.

Il ne faut pas perdre de vue non plus qu’entre temps est entré en vigueur le RGPD, qui impose lui aussi un cadre strict pour les transferts hors UE et en particulier des décisions d’adéquation.

La décision d’adéquation du 10 juillet 2023

On 10 July the European Commission adopted its adequacy decision for the EU-US Data Privacy Framework. On the basis of the adequacy decision, personal data can flow freely from the EU to companies in the United States that participate in the Data Privacy Framework.

Communiqué de presse de la Commission européenne, 10 juillet 2023

TADAA ! Enfin la réconciliation, enfin les données vont pouvoir circuler librement, tout va bien dans le meilleur des mondes ! Le 10 juillet 2023, la Commission européenne publie en effet sa décision d’adéquation pour les États-Unis3. Celle-ci fait suite à un Executive Order – le numéro 14086 – pris par le Président Joe Biden, contribuant à un Trans-Atlantic Data Privacy Framework (ou TADPF pour lesintimes).

Une décision très largement attendue…

Plus concrètement, cette décision d’adéquation permet d’autoriser à nouveau les transferts de données personnelles de citoyens européens vers les États-Unis. Oh ces transferts n’avaient pas réellement cessé depuis l’arrêt Schrems II en 2020. Réduits, certes, mais pas cessés. Il y a différentes raisons à cela, j’en vois au moins 3 :

  1. les obligations découlant du RGPD sont souvent méconnues et non respectées, sciemment ou non ;
  2. les autorités nationales de protection des données (la CNIL par exemple) sanctionnent globalement peu, quand elles ne luttent pas activement contre les citoyens4, et en particulier pas cette violation ;
  3. il n’y a souvent pas d’équivalent ailleurs !

Sur ce dernier point, il faut bien reconnaître la supériorité du secteur aux États-Unis. Le tertiaire européen n’est pas capable aujourd’hui de rivaliser, de fournir ces services devenus indispensables avec une fiabilité très élevée. Aucun opérateur européen ne peut remplacer un AWS, un Microsoft Azure… Trouver un prestataire de service de paiement en ligne européen relève du défi.

Quoi qu’il en soit, cette décision apporte aux acteurs européens une sécurité juridique indispensable dans leur recours à des fournisseurs américains. Toutefois, elle prête le flanc à des critiques sévères de la part d’experts.

… mais qui n’est pas exempte de critiques

L’avis du Parlement européen

En mai 2023 le Parlement européen a adopté une résolution, non contraignante, contre l’adoption de cette décision d’adéquation par la Commission5.

Il indique tout d’abord que la collecte en masse est toujours trop massive, et que les garde-fous mis en place par l’Executive Order 14086 ne suffisent pas à contenir l’appétit des services de renseignements américains.

Il continue en pointant l’absence de recours effectif pour les citoyens européens.

Il évoque aussi la fragilité du dispositif : en l’absence de loi fédérale sur la protection des données, un Executive Order est susceptible d’être modifié ou révoqué n’importe quand. Tout l’intérêt de la sécurité juridique tombe. Le Parlement en profite pour rappeler à la Commission qu’elle doit prendre ses décisions en évaluant certes l’état de la législation du pays tiers mais aussi son implémentation, sous-entendant très clairement qu’il y aurait un écart ici.

Regardons plus en détail, sur la base d’une première analyse par noyb6.

Sur la proportionnalité des interceptions

On l’a vu, la CJUE s’oppose de manière constante aux collectes de masse de données, à la recherche d’une éventuelle information utile, car il s’agit d’une atteinte non proportionnée à la vie privée. Elle s’appuie pour cela sur l’article 52 de la Charte des Droits Fondamentaux qui dispose :

  1. Toute limitation de l’exercice des droits et libertés reconnus par la présente Charte doit être prévue par la loi et respecter le contenu essentiel desdits droits et libertés. Dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui.

Article 52-1 de la Charte des Droits Fondamentaux

Problème selon noyb: si l’Executive Order 14086 utilise bien le terme de proportionnalité, c’est en lui donnant un autre sens que la Commission, sens qui resterait secret.

Note : je n’ai pas pu arriver à cette conclusion à partir des sources de noyb. Il est toutefois acquis que leurs juristes sont meilleurs que moi, aussi j’ai tendance à m’en remettre à leur avis.

Sur le droit à un recours effectif et à accéder à un tribunal impartial

Deuxième point de désaccord pour la CJUE : l’impossibilité pour un citoyen européen d’exercer un recours effectif et d’accéder à un tribunal impartial, droit consacré par l’ article 47 de la Charte des Droits Fondamentaux.

Toute personne dont les droits et libertés garantis par le droit de l’Union ont été violés a droit à un recours effectif devant un tribunal dans le respect des conditions prévues au présent article. Toute personne a droit à ce que sa cause soit entendue équitablement, publiquement et dans un délai raisonnable par un tribunal indépendant et impartial, établi préalablement par la loi.

Article 47 de la Charte des Droits Fondamentaux

Concrètement, sous le Privacy Shield, les citoyens européens souhaitant exercer un tel recours contre les autorités américaines devaient obligatoirement s’adresser à un Ombudsperson qui prenait alors une décision. Cet Ombudsperson, qui servait alors de tribunal impartial, était nommé… par le gouvernement américain.

Ce nouveau Trans-Atlantic Data Privacy Framework doit donc prévoir un mécanisme différent pour satisfaire au droit européen. La solution a été trouvée : le Ombudsperson est remplacé par une entité bicéphale composée d’un « Officier de Protection des Libertés Civiles7 » et une « Cour de Révision de la Protection des Données8 » qui malgré son nom n’est ni un tribunal ni (totalement) indépendante.

Avec ce dispositif, un citoyen européen souhaitant faire valoir ses droits devra s’adresser à son autorité nationale de protection des données (en France ce sera la CNIL), qui le représentera devant ces nouvelles instances.

La réponse qui sera apportée à ce citoyen est par contre déjà connue, car figée dans l’Executive Order :

(E) after the review is completed, inform the complainant, through the appropriate public authority in a qualifying state and without confirming or denying that the complainant was subject to United States signals intelligence activities, that:

(1) “the review either did not identify any covered violations or the Civil Liberties Protection Officer of the Office of the Director of National Intelligence issued a determination requiring appropriate remediation”;

Executive Order 14086

Les détails n’étant pas connus, même du plaignant, il est dès lors impossible de faire appel de cette décision.

L’association a déjà annoncé qu’elle saisira la CJUE pour faire invalider ce troisième dispositif. Elle rappelle que toute personne physique dont les données personnelles auraient été transférées aux États-Unis sur la base de cette décision d’adéquation est fondée à le contester devant son autorité nationale de protection ou directement devant les tribunaux.

Les vannes sont ouvertes mais gare à la relève des compteurs !

Dans l’immédiat, la décision de la Commission européenne permet de rouvrir les vannes vers les États-Unis. Elle apporte une réponse claire tant aux responsables de traitement européens qu’aux fournisseurs américains, en passant par les autorités nationales de protection des données.

Il convient toutefois de faire preuve de prudence : la situation n’a dans l’absolu pas tant changé que ça par rapport aux précédents dispositifs qu’était le Safe Harbor et le Privacy Shield. Il est donc tout à fait envisageable que la justice européenne annule le TADPF à relativement court terme (le Privacy Shield n’a vécu que 4 ans et 4 jours). C’est d’autant plus probable que le raisonnement juridique suivi par la CJUE reste applicable, et que des experts comme noyb fourbissent déjà leurs armes.

Dès lors, peut-on vraiment parler de sécurité juridique ?

  1. Communiqué de presse de la CJUE (PDF) ↩︎

  2. bien que cela fasse débat ↩︎

  3. Communiqué de presse de la Commission européenne, Foire Aux Questions par la Commission (PDF) ↩︎

  4. Oui on pense à toi la Data Protection Commission irlandaise ↩︎

  5. Texte complet de la résolution votée par le Parlement ↩︎

  6. noyb est une association à but non lucratif fondée notamment par Maximillian Schrems qui mène notamment des actions juridiques pour faire appliquer les droits fondamentaux à la protection de la vie privée des citoyens européens. ↩︎

  7. Civil Liberties Protection Officer ↩︎

  8. Data Protection Review Court ↩︎

Protection des données et USA - Cet article fait partie d'une série.

Articles connexes

Le Privacy Shield prend l’eau
·1301 mots·7 mins
Sécurité IT CJUE Justice Privacy Shield RGPD USA Vie Privée

Dernière étape en date du conflit juridique entre les États-Unis d’Amérique et l’Union Européenne, entre les lois de surveillance américaines et les lois protégeant la vie privée européennes, la CJUE a rendu un arrêt très attendu.
De l’intérêt de la Privacy pour Madame Bismuth
·2526 mots·12 mins
Sécurité IT CNIL Données Personnelles Privacy RGPD Vie Privée

On a parlé du cadre législatif et réglementaire, on a abordé les impacts pour les entreprises et on a survolé les conséquences du RGPD pour un citoyen européen.
Mais dans la vraie vie, qu’est-ce que cela change, et pourquoi est-ce important ? Surtout que vous, vous n’avez rien à cacher !
Du Safe Harbor au Privacy Shield (S01E02)
·558 mots·3 mins
Sécurité IT Privacy Shield Safe Harbor

Résumé de l’épisode précédent… Max Schrems, étudiant en droit autrichien de son état, découvre que Facebook détient toujours des informations personnelles pourtant supprimées. De juridiction en juridiction, le cas Facebook arrive jusqu’à la CJUE.

Et dans l’épisode d’aujourd’hui : le Safe Harbor est-il valide ?