De 2016 à 2020, le Privacy Shield UE-US a ré­gle­menté le transfert de données per­son­nelles de l’UE vers les États-Unis. Mais en juillet 2020, l’accord sur le transfert de données a été déclaré invalide par la Cour de justice eu­ro­péenne (arrêt Schrems II), car il ne pouvait garantir un niveau de pro­tec­tion des données conforme au RGPD, et les exigences de sécurité nationale des États-Unis ont été con­si­dé­rées comme prio­ri­taires. Au moins jusqu’à l’entrée en vigueur de la nouvelle ré­gle­men­ta­tion, les en­tre­prises amé­ri­caines seront tenues davantage res­pon­sables et, si elles veulent éviter les sanctions, elles doivent désormais par­ti­ci­per plus ac­ti­ve­ment que jamais au débat sur la pro­tec­tion des données.

Le statut actuel : que doit-on attendre après la fin du Privacy Shield EU-US ?

Bien que le Privacy Shield ait été invalidé, les en­tre­prises de l’UE peuvent toujours exporter des données per­son­nelles vers les États-Unis. La Com­mis­sion eu­ro­péenne a décidé que les clauses con­trac­tuelles standard eu­ro­péennes (SCC), un autre ins­tru­ment cou­ram­ment utilisé pour les trans­ferts de données, per­met­taient toujours le transfert de données au niveau in­ter­na­tio­nal. Mais au lieu de se contenter de faire venir des données de l’Union eu­ro­péenne, les en­tre­prises amé­ri­caines cer­ti­fiées au titre du Privacy Shield devront désormais négocier ce transfert par l’in­ter­mé­diaire des SCC.

Remarque

Les règles d’en­tre­prise con­traig­nantes (ou BCR pour Binding corporate rules) font référence à un cadre utilisé par les en­tre­prises ayant des opé­ra­tions et des suc­cur­sales in­ter­na­tio­nales, qui utilisent les règles comme lignes di­rec­trices con­traig­nantes pour ré­gle­men­ter les trans­ferts de données qui satisfont aux normes de con­fi­den­tia­lité du RGPD. Les BCR doivent être ap­prou­vées par l’autorité de pro­tec­tion des données (APD) d’un État membre. Le RGPD ré­gle­mente les con­di­tions et les exigences des règles d’en­tre­prise con­traig­nantes à l’article 47.

Suite à l’arrêt Schrems II, l’uti­li­sa­tion de clauses con­trac­tuelles types est soumise à des règles et con­di­tions plus strictes : les en­tre­prises de l’UE doivent prendre des mesures sup­plé­men­taires et, en principe, procéder à une éva­lua­tion au cas par cas de chaque transfert de données. Toutefois, les tribunaux européens ayant jugé que la pro­tec­tion des données aux États-Unis était limitée, les données de l’UE sont con­si­dé­rées comme peu sûres lorsqu’elles sont trans­fé­rées vers les États-Unis.

En outre, les clauses con­trac­tuelles types sont soumises à l’examen des autorités eu­ro­péennes de contrôle et de pro­tec­tion des données. Ainsi, si la situation juridique dans un pays tiers empêche un des­ti­na­taire de données de respecter les obli­ga­tions prévues par les clauses con­trac­tuelles types, les trans­ferts de données peuvent être suspendus, voire interdits. En d’autres termes, l’ensemble du processus doit être pris en compte lors de l’examen du niveau de pro­tec­tion des données. Tout au long du processus, il faut donc garantir que les autorités na­tio­nales de sécurité et d’enquête du pays des­ti­na­taire n’ont pas accès aux données à caractère personnel.

Dans la situation actuelle, l’éva­lua­tion au cas par cas est par­ti­cu­liè­re­ment difficile pour les petites et moyennes en­tre­prises, car elles n’ont nor­ma­le­ment pas le savoir-faire et les moyens de vérifier si le niveau de pro­tec­tion des données est adéquat dans un pays tiers. En outre, l’arrêt de la CJUE ne précise pas exac­te­ment quelles normes concrètes doivent être ap­pli­quées à l’éva­lua­tion des cas in­di­vi­duels ou aux éven­tuelles ex­ten­sions des clauses con­trac­tuelles types.

Néanmoins, les PME devraient s’attaquer ac­ti­ve­ment à ce sujet. Les experts ju­ri­diques con­seil­lent aux petites et moyennes en­tre­prises de prendre les plus grandes pré­cau­tions, et de créer une do­cu­men­ta­tion solide sur leurs efforts en termes de pro­tec­tion des données. Ce faisant, les en­tre­prises seront mieux préparées à un éventuel litige, et pourront mieux défendre leurs actions en justice une fois que le Privacy Shield aura pris fin.

Avec un flux de données ainsi restreint, comment les en­tre­prises amé­ri­caines qui col­lec­tent des données sur les citoyens européens doivent-elles pro­gres­ser ? Quelles mesures doivent-elles prendre pour s’assurer qu’elles se con­for­ment à tous les aspects formels des clauses standard de pro­tec­tion des données ? Avant tout, les en­tre­prises préa­la­ble­ment cer­ti­fiées au titre du Privacy Shield devraient examiner tous les flux de données, les contrats et les relations qui im­pli­quent le transfert de données per­son­nelles de l’UE vers les États-Unis. Dans la mesure où la situation juridique aux États-Unis sera désormais analysée de plus près par les en­tre­prises de l’UE, et que la pro­ba­bi­lité d’un accès inap­pro­prié aux données sera évaluée avec plus d’attention, il est important que vous examiniez tous les accords et que vous dé­ter­mi­niez si vous souhaitez continuer à recevoir ces données. Une fois que vous l’aurez fait, vous devrez dé­ter­mi­ner comment votre en­tre­prise peut s’organiser pour maintenir ce flux de données. Si certains par­te­naires seront plus disposés à accepter ce nouvel accord pour maintenir le fonc­tion­ne­ment habituel, d’autres y verront cer­tai­ne­ment une chance de re­né­go­cier les accords en leur faveur.

Au cours de ce processus, il convient de préciser si votre en­tre­prise assumera des obli­ga­tions con­trac­tuelles par­ti­cu­lières compte tenu de la situation actuelle (par exemple des obli­ga­tions accrues de sur­veil­lance et de no­ti­fi­ca­tion). Dans la situation actuelle, les en­tre­prises de l’UE pour­raient également demander aux par­te­naires com­mer­ciaux et aux four­nis­seurs de services amé­ri­cains d’utiliser tous les moyens tech­niques dis­po­nibles pour optimiser la pro­tec­tion des données, par exemple l’uti­li­sa­tion du chif­fre­ment de bout en bout pour les logiciels de vidéo con­fé­rence.

Les en­tre­prises eu­ro­péennes qui peuvent fonc­tion­ner sans transfert de données, services de Cloud, et serveurs dans des pays tiers hors UE doivent se tourner vers des al­ter­na­tives res­pec­tueuses du RGPD en Europe. En outre, l’évolution de la lé­gis­la­tion en matière de pro­tec­tion des données devrait être suivie de près. Dans une liste des questions fré­quem­ment posées, le Comité européen de la pro­tec­tion des données (CEPD) fournit des in­for­ma­tions sur la situation actuelle aux parties in­té­res­sées.

Qu’est-ce que le Privacy Shield UE-US ?

Le bouclier de pro­tec­tion des données a été of­fi­ciel­le­ment lancé à la mi-2016 pour succéder aux Safe Harbor Privacy Prin­ciples. L’objectif de cet accord était de protéger les données des citoyens européens qui sont stockées et traitées par des sociétés basées aux États-Unis après avoir y avoir été trans­fé­rées. Ceci con­cer­nait ex­clu­si­ve­ment les données à caractère personnel, qui sont, par exemple, très souvent col­lec­tées dans le cadre du e-commerce. Les données à caractère personnel com­pren­nent les numéros de téléphone, les iden­ti­fiants, les numéros de cartes de crédit ou d’iden­ti­fi­ca­tion, les données relatives aux comptes, l’apparence d’une personne ou l’adresse des citoyens de l’UE, en com­bi­nai­son avec d’autres données per­son­nelles.

La validité du Safe Harbor s’est terminée en juillet 2020 par un arrêt de la Cour Eu­ro­péenne de Justice. Dans l’arrêt Schrems II du 16.07.2020, la CEJ estime que le niveau de sécurité requis par le Règlement Général sur la Pro­tec­tion des Données (RGPD) ne sera pas atteint si les données sont archivées et traitées aux États-Unis.

Remarque

Le Règlement Général sur la Pro­tec­tion des Données (RGPD) a été adopté par le Parlement européen le 14 avril 2016 à une large majorité, et est entré en vigueur le 25 mai 2018 après une période tran­si­toire de deux ans.

Ce faisant, la CEJ a également annulé la con­clu­sion de la Com­mis­sion eu­ro­péenne, qui a confirmé à plusieurs reprises que les États-Unis dis­po­saient d’un niveau suffisant de pro­tec­tion des données. La décision de la CEJ a été dé­clen­chée par une action en justice intentée par l’expert au­tri­chien en matière de pro­tec­tion des données Maxi­mi­lian Schrems, qui avait pré­cé­dem­ment initié la fin de l’accord sur la sphère de sécurité par une action en justice. Dans ce procès, Schrems voulait interdire à Facebook Ireland de trans­fé­rer ses données per­son­nelles aux États-Unis, en déposant une plainte auprès de l’autorité ir­lan­daise de pro­tec­tion des données. Comme la Cour de Justice ir­lan­daise n’a pas engagé de procédure, Schrems l’a pour­sui­vie. Dans le second cas, l’autorité ir­lan­daise de pro­tec­tion des données a renvoyé l’affaire devant la CEJ pour un examen juridique, qui a fi­na­le­ment annulé le Privacy Shield UE-US.

Contenu et con­di­tions générales du Privacy Shield

Le Safe Harbor était fondé sur des mesures et des normes spéciales de pro­tec­tion des données qui devaient être res­pec­tées par les États-Unis. Un élément important était que les en­tre­prises amé­ri­caines pouvaient se certifier avec le Privacy Shield. Après qu’une en­tre­prise amé­ri­caine se soit vo­lon­tai­re­ment soumise aux termes de l’accord, un examen a été effectué par le ministère américain du commerce. Une fois qu’une en­tre­prise avait mené à bien le processus, elle était incluse dans une base de données ouverte au public. La liste com­pre­nait un total de 5384 or­ga­ni­sa­tions au moment où le Privacy Shield a été déclaré invalide.

Le Privacy Shield UE-US ga­ran­tis­sait aux citoyens européens des droits complets lorsque des données per­son­nelles étaient trans­fé­rées à des en­tre­prises cer­ti­fiées aux États-Unis. Les citoyens européens pouvaient aussi contacter di­rec­te­ment les en­tre­prises pour faire valoir ces droits. Ces en­tre­prises devaient répondre aux préoc­cu­pa­tions des citoyens dans un délai de 45 jours. Les droits garantis dans le cadre du Privacy Shield étaient notamment les suivants :

  • Droit à l’in­for­ma­tion et à la di­vul­ga­tion
  • Droit d’op­po­si­tion (une op­po­si­tion pourrait être faite contre un trai­te­ment de données si né­ces­saire)
  • Droit de rectifier des données inexactes
  • Droit à la sup­pres­sion des données
  • Des pro­cé­dures de plainte/recours étaient dis­po­nibles

Pour faire respecter et protéger leurs droits, les citoyens de l’UE peuvent également s’adresser à un médiateur au sein du dé­par­te­ment d’État américain. Le médiateur devrait être in­dé­pen­dant de tous les services de ren­seig­ne­ment, enquêter sur les préoc­cu­pa­tions des par­ti­cu­liers, et fournir des in­for­ma­tions sur le respect du droit ap­pli­cable dans des cas spé­ci­fiques. Toutefois, ce poste n’a été pourvu qu’en 2018, sur l’in­sis­tance de l’UE. Il a d’abord été occupé par Manisha Singh, remplacé par Keith Krach depuis juin 2019.

Les citoyens européens peuvent également se tourner vers leurs autorités na­tio­nales de pro­tec­tion des données, qui peuvent alors contacter di­rec­te­ment la Federal Trade Com­mis­sion (FTC) des États-Unis pour obtenir des pré­ci­sions. Si aucune autre forme d’accord ne pouvait être trouvée, une procédure d’arbitrage avec une décision arbitrale exé­cu­toire ferait office de frontière finale. En outre, toutes les en­tre­prises pouvaient agir con­for­mé­ment aux re­com­man­da­tions des autorités eu­ro­péennes de pro­tec­tion des données. Les en­tre­prises qui traitent des données à caractère personnel y sont dans tous les cas tenus.

L’une des con­di­tions préa­lables à la validité du Privacy Shield était la décision d’adé­qua­tion prise par la Com­mis­sion eu­ro­péenne, qui a certifié que les États-Unis dis­po­saient de normes de pro­tec­tion des données adéquates pour le stockage et le trai­te­ment des données per­son­nelles en pro­ve­nance de l’UE. La décision d’adé­qua­tion de 2016 a été revue chaque année et re­nou­ve­lée si le niveau de pro­tec­tion des données requis était atteint. La Com­mis­sion eu­ro­péenne et le ministère américain du commerce ont mené cet examen con­join­te­ment avec la par­ti­ci­pa­tion d’experts. La procédure a abouti à un rapport ac­ces­sible au public qui a été soumis au Parlement européen et au Conseil.

Malgré ces mesures de pro­tec­tion des données très étendues, la sur­veil­lance de masse n’a pas été to­ta­le­ment exclue. Dans les six domaines suivants, qui laissent une certaine marge d’in­ter­pré­ta­tion, les États-Unis ont pu collecter des données :

  • Lutte contre le ter­ro­risme
  • Ré­vé­la­tion des activités des puis­sances étran­gères
  • Lutte contre la pro­li­fé­ra­tion des armes de des­truc­tion massive
  • Cy­ber­sé­cu­rité
  • Pro­tec­tion des forces amé­ri­caines et alliées
  • Lutte contre les menaces cri­mi­nelles trans­na­tio­nales

Privacy Shield : avantages et in­con­vé­nients

Pour les citoyens de l’UE, les droits étendus per­met­tant de porter plainte en cas de vio­la­tions concrètes de la pro­tec­tion des données par des en­tre­prises amé­ri­caines fi­gu­raient parmi les avantages de l’accord Privacy Shield. Le principe de li­mi­ta­tion de la finalité était également un élément important : les données ne pouvaient être en­re­gis­trées et traitées que pour une finalité clai­re­ment définie à l’avance et lé­ga­le­ment ad­mis­sible. Pour les or­ga­ni­sa­tions basées aux États-Unis, l’ap­pro­ba­tion d’une pro­tec­tion « adéquate » de la vie privée était es­sen­tielle pour le transfert de données en dehors de l’UE, et les en­tre­prises par­ti­ci­pantes étaient dis­pen­sées des exigences des États membres.

Toutefois, le Privacy Shield EU-US a rencontré une op­po­si­tion dès le départ. Les critiques ont fait valoir que l’accord n’était pas assez ambitieux. Certains se sont plaints que les exigences de la Cour eu­ro­péenne de justice n’étaient pas suf­fi­sam­ment res­pec­tées et que de nom­breuses di­ver­gences n’étaient que dis­si­mu­lées que par des artifices. Le poste de médiateur étant attribué au ministère des affaires étran­gères, les critiques ont estimé que l’accord manquait d’in­dé­pen­dance ins­ti­tu­tion­nelle et qu’il était en conflit avec le règlement général sur la pro­tec­tion des données (article 52, pa­ra­graphe 1 du RGPD). Ils ont également critiqué le fait que les citoyens européens concernés ne pouvaient pas intenter de procès contre les décisions du bureau du médiateur.

Un autre point essentiel de critique était que les mesures de sur­veil­lance de masse n’étaient pas soumises à un test de pro­por­tion­na­lité et, ce faisant, violaient le droit européen. Les États-Unis étaient toujours le pouvoir de contrôle central et il n’y avait aucune preuve d’une enquête menée par les autorités de sur­veil­lance na­tio­nales. Les critiques n’ont pas non plus tenu compte du contrôle urgent des grandes en­tre­prises amé­ri­caines en ligne.

En raison de ces lacunes, les critiques et les experts avaient déjà à l’époque supposé que l’accord ne ré­sis­te­rait pas à l’examen de la Cour de justice eu­ro­péenne et ne cons­ti­tuait donc pas une solution à long terme, ju­ri­di­que­ment solide. Les dif­fé­rences ma­ni­fes­te­ment minimes par rapport à la sphère de sécurité ont été dénoncées à plusieurs reprises. De nombreux critiques ont supposé que diverses lacunes en matière de pro­tec­tion des données n’étaient pas comblées par le Privacy Shield.

La mise en œuvre concrète du Privacy Shield

Après la fin abrupte du Safe Harbor, l’in­cer­ti­tude éco­no­mique était très forte. On craignait des sanctions (sous forme d’amendes) si un examen devait révéler des vio­la­tions de la pro­tec­tion des données. En outre, les nouvelles dis­po­si­tions sig­ni­fiaient que les en­tre­prises allaient devoir faire face à des chan­ge­ments longs et coûteux dans le domaine de la pro­tec­tion des données.

À l’époque, de nom­breuses en­tre­prises ont adopté les clauses con­trac­tuelles types de l’UE, ou les ont déjà utilisées comme al­ter­na­tive ou com­plé­ment à l’accord du Safe Harbor (Facebook notamment). Cette pratique s’est in­ten­si­fiée pendant la période de tran­si­tion jusqu’à ce que Privacy Shield EU-US soit plus largement appliqué et soit maintenu pendant toute sa durée de validité. Selon une étude de PWC, 75 % des en­tre­prises amé­ri­caines in­ter­ro­gées avaient l’intention d’utiliser des règles d’en­tre­prise con­traig­nantes pour sécuriser les trans­ferts de données trans­fron­ta­liers avec l’Union eu­ro­péenne.

Les chiffres parlent d’eux-mêmes : dans la pratique, de nom­breuses en­tre­prises ne voulaient plus se fier uni­que­ment à un accord sur la pro­tec­tion des données qui, comme son pré­dé­ces­seur, n’éliminait pas les problèmes et les conflits fon­da­men­taux en matière de pro­tec­tion des données. Avec la fin du Privacy Shield en vue, les contrôles annuels de validité ont servi à accroître la méfiance. L’uti­li­sa­tion al­ter­na­tive ou parallèle de clauses con­trac­tuelles types a également été une réaction à la mise en œuvre souvent lente de points clés du Privacy Shield aux États-Unis, par exemple le long délai pour pourvoir le poste de médiateur.

En résumé : un ar­ran­ge­ment tem­po­raire sans base solide

Depuis l’entrée en vigueur du RGPD, les accords in­ter­na­tio­naux sur la pro­tec­tion des données sont devenus beaucoup plus com­pli­qués. C’est pourquoi le Privacy Shield est resté un ar­ran­ge­ment tran­si­toire, qui n’a fourni un cadre juridique con­traig­nant pour les trans­ferts in­ter­na­tio­naux de données que pendant une période limitée. Après son échec, le Privacy Shield a également généré beaucoup d’im­puis­sance et d’in­cer­ti­tude pour les en­tre­prises con­cer­nées.

Le sort du Privacy Shield prouve que les problèmes fon­da­men­taux de pro­tec­tion des données ne peuvent être dis­si­mu­lés à l’heure de la nu­mé­ri­sa­tion crois­sante, mais doivent être résolus de manière durable et dans le respect du RGPD. Sinon, les modèles com­mer­ciaux à long terme qui fonc­tion­nent au niveau in­ter­na­tio­nal et qui im­pli­quent des données per­son­nelles perdront leur fondement.

Une prise de cons­cience crois­sante de la pro­tec­tion des données se développe ré­gu­liè­re­ment aux États-Unis. On constate également une prise de cons­cience de l’im­por­tance de la col­la­bo­ra­tion avec le RGPD, comme en témoigne la loi ca­li­for­nienne sur la pro­tec­tion de la vie privée des con­som­ma­teurs Ca­li­for­nia Consumer Privacy Act (CCPA). Toutefois, la question de savoir si les normes élevées et en­tiè­re­ment jus­ti­fiées du RGPD doivent encore se trans­for­mer en une norme acceptée au niveau mondial et pouvant être trans­fé­rée à tous les par­te­naires com­mer­ciaux nu­mé­riques semble plutôt dis­cu­table à la lumière des opinions mondiales très di­ver­gentes con­cer­nant la pro­tec­tion des données.

Le RGPD, qui est complété par d’autres rè­gle­ments de l’UE sur la pro­tec­tion des données, tels que la re­gu­la­tion de la con­fi­den­tia­lité en ligne et des di­rec­tives telles que les lois eu­ro­péeennes sur les cookies, pourrait devenir un point de discorde et un obstacle de plus en plus important dans les relations éco­no­miques in­ter­na­tio­nales.

Veuillez prendre con­nais­sance des mentions légales en vigueur sur cet article.

Aller au menu principal