Privacy Shield : un accord de transfert de donnés controversé entre les États-Unis et l’Union européenne

De 2016 à 2020, le Privacy Shield UE-US a réglementé le transfert de données personnelles de l’UE vers les États-Unis. Mais en juillet 2020, l’accord sur le transfert de données a été déclaré invalide par la Cour de justice européenne (arrêt Schrems II), car il ne pouvait garantir un niveau de protection des données conforme au RGPD, et les exigences de sécurité nationale des États-Unis ont été considérées comme prioritaires. Au moins jusqu’à l’entrée en vigueur de la nouvelle réglementation, les entreprises américaines seront tenues davantage responsables et, si elles veulent éviter les sanctions, elles doivent désormais participer plus activement que jamais au débat sur la protection des données.

Le statut actuel : que doit-on attendre après la fin du Privacy Shield EU-US ?

Bien que le Privacy Shield ait été invalidé, les entreprises de l’UE peuvent toujours exporter des données personnelles vers les États-Unis. La Commission européenne a décidé que les clauses contractuelles standard européennes (SCC), un autre instrument couramment utilisé pour les transferts de données, permettaient toujours le transfert de données au niveau international. Mais au lieu de se contenter de faire venir des données de l’Union européenne, les entreprises américaines certifiées au titre du Privacy Shield devront désormais négocier ce transfert par l’intermédiaire des SCC.

Remarque

Les règles d’entreprise contraignantes (ou BCR pour Binding corporate rules) font référence à un cadre utilisé par les entreprises ayant des opérations et des succursales internationales, qui utilisent les règles comme lignes directrices contraignantes pour réglementer les transferts de données qui satisfont aux normes de confidentialité du RGPD. Les BCR doivent être approuvées par l’autorité de protection des données (APD) d’un État membre. Le RGPD réglemente les conditions et les exigences des règles d’entreprise contraignantes à l’article 47.

Suite à l’arrêt Schrems II, l’utilisation de clauses contractuelles types est soumise à des règles et conditions plus strictes : les entreprises de l’UE doivent prendre des mesures supplémentaires et, en principe, procéder à une évaluation au cas par cas de chaque transfert de données. Toutefois, les tribunaux européens ayant jugé que la protection des données aux États-Unis était limitée, les données de l’UE sont considérées comme peu sûres lorsqu’elles sont transférées vers les États-Unis.

En outre, les clauses contractuelles types sont soumises à l’examen des autorités européennes de contrôle et de protection des données. Ainsi, si la situation juridique dans un pays tiers empêche un destinataire de données de respecter les obligations prévues par les clauses contractuelles types, les transferts de données peuvent être suspendus, voire interdits. En d’autres termes, l’ensemble du processus doit être pris en compte lors de l’examen du niveau de protection des données. Tout au long du processus, il faut donc garantir que les autorités nationales de sécurité et d’enquête du pays destinataire n’ont pas accès aux données à caractère personnel.

Dans la situation actuelle, l’évaluation au cas par cas est particulièrement difficile pour les petites et moyennes entreprises, car elles n’ont normalement pas le savoir-faire et les moyens de vérifier si le niveau de protection des données est adéquat dans un pays tiers. En outre, l’arrêt de la CJUE ne précise pas exactement quelles normes concrètes doivent être appliquées à l’évaluation des cas individuels ou aux éventuelles extensions des clauses contractuelles types.

Néanmoins, les PME devraient s’attaquer activement à ce sujet. Les experts juridiques conseillent aux petites et moyennes entreprises de prendre les plus grandes précautions, et de créer une documentation solide sur leurs efforts en termes de protection des données. Ce faisant, les entreprises seront mieux préparées à un éventuel litige, et pourront mieux défendre leurs actions en justice une fois que le Privacy Shield aura pris fin.

Avec un flux de données ainsi restreint, comment les entreprises américaines qui collectent des données sur les citoyens européens doivent-elles progresser ? Quelles mesures doivent-elles prendre pour s’assurer qu’elles se conforment à tous les aspects formels des clauses standard de protection des données ? Avant tout, les entreprises préalablement certifiées au titre du Privacy Shield devraient examiner tous les flux de données, les contrats et les relations qui impliquent le transfert de données personnelles de l’UE vers les États-Unis. Dans la mesure où la situation juridique aux États-Unis sera désormais analysée de plus près par les entreprises de l’UE, et que la probabilité d’un accès inapproprié aux données sera évaluée avec plus d’attention, il est important que vous examiniez tous les accords et que vous déterminiez si vous souhaitez continuer à recevoir ces données. Une fois que vous l’aurez fait, vous devrez déterminer comment votre entreprise peut s’organiser pour maintenir ce flux de données. Si certains partenaires seront plus disposés à accepter ce nouvel accord pour maintenir le fonctionnement habituel, d’autres y verront certainement une chance de renégocier les accords en leur faveur.

Au cours de ce processus, il convient de préciser si votre entreprise assumera des obligations contractuelles particulières compte tenu de la situation actuelle (par exemple des obligations accrues de surveillance et de notification). Dans la situation actuelle, les entreprises de l’UE pourraient également demander aux partenaires commerciaux et aux fournisseurs de services américains d’utiliser tous les moyens techniques disponibles pour optimiser la protection des données, par exemple l’utilisation du chiffrement de bout en bout pour les logiciels de vidéo conférence.

Les entreprises européennes qui peuvent fonctionner sans transfert de données, services de Cloud, et serveurs dans des pays tiers hors UE doivent se tourner vers des alternatives respectueuses du RGPD en Europe. En outre, l’évolution de la législation en matière de protection des données devrait être suivie de près. Dans une liste des questions fréquemment posées, le Comité européen de la protection des données (CEPD) fournit des informations sur la situation actuelle aux parties intéressées.

Qu’est-ce que le Privacy Shield UE-US ?

Le bouclier de protection des données a été officiellement lancé à la mi-2016 pour succéder aux Safe Harbor Privacy Principles. L’objectif de cet accord était de protéger les données des citoyens européens qui sont stockées et traitées par des sociétés basées aux États-Unis après avoir y avoir été transférées. Ceci concernait exclusivement les données à caractère personnel, qui sont, par exemple, très souvent collectées dans le cadre du e-commerce. Les données à caractère personnel comprennent les numéros de téléphone, les identifiants, les numéros de cartes de crédit ou d’identification, les données relatives aux comptes, l’apparence d’une personne ou l’adresse des citoyens de l’UE, en combinaison avec d’autres données personnelles.

La validité du Safe Harbor s’est terminée en juillet 2020 par un arrêt de la Cour Européenne de Justice. Dans l’arrêt Schrems II du 16.07.2020, la CEJ estime que le niveau de sécurité requis par le Règlement Général sur la Protection des Données (RGPD) ne sera pas atteint si les données sont archivées et traitées aux États-Unis.

Remarque

Le Règlement Général sur la Protection des Données (RGPD) a été adopté par le Parlement européen le 14 avril 2016 à une large majorité, et est entré en vigueur le 25 mai 2018 après une période transitoire de deux ans.

Ce faisant, la CEJ a également annulé la conclusion de la Commission européenne, qui a confirmé à plusieurs reprises que les États-Unis disposaient d’un niveau suffisant de protection des données. La décision de la CEJ a été déclenchée par une action en justice intentée par l’expert autrichien en matière de protection des données Maximilian Schrems, qui avait précédemment initié la fin de l’accord sur la sphère de sécurité par une action en justice. Dans ce procès, Schrems voulait interdire à Facebook Ireland de transférer ses données personnelles aux États-Unis, en déposant une plainte auprès de l’autorité irlandaise de protection des données. Comme la Cour de Justice irlandaise n’a pas engagé de procédure, Schrems l’a poursuivie. Dans le second cas, l’autorité irlandaise de protection des données a renvoyé l’affaire devant la CEJ pour un examen juridique, qui a finalement annulé le Privacy Shield UE-US.

Contenu et conditions générales du Privacy Shield

Le Safe Harbor était fondé sur des mesures et des normes spéciales de protection des données qui devaient être respectées par les États-Unis. Un élément important était que les entreprises américaines pouvaient se certifier avec le Privacy Shield. Après qu’une entreprise américaine se soit volontairement soumise aux termes de l’accord, un examen a été effectué par le ministère américain du commerce. Une fois qu’une entreprise avait mené à bien le processus, elle était incluse dans une base de données ouverte au public. La liste comprenait un total de 5384 organisations au moment où le Privacy Shield a été déclaré invalide.

Le Privacy Shield UE-US garantissait aux citoyens européens des droits complets lorsque des données personnelles étaient transférées à des entreprises certifiées aux États-Unis. Les citoyens européens pouvaient aussi contacter directement les entreprises pour faire valoir ces droits. Ces entreprises devaient répondre aux préoccupations des citoyens dans un délai de 45 jours. Les droits garantis dans le cadre du Privacy Shield étaient notamment les suivants :

  • Droit à l’information et à la divulgation
  • Droit d’opposition (une opposition pourrait être faite contre un traitement de données si nécessaire)
  • Droit de rectifier des données inexactes
  • Droit à la suppression des données
  • Des procédures de plainte/recours étaient disponibles

Pour faire respecter et protéger leurs droits, les citoyens de l’UE peuvent également s’adresser à un médiateur au sein du département d’État américain. Le médiateur devrait être indépendant de tous les services de renseignement, enquêter sur les préoccupations des particuliers, et fournir des informations sur le respect du droit applicable dans des cas spécifiques. Toutefois, ce poste n’a été pourvu qu’en 2018, sur l’insistance de l’UE. Il a d’abord été occupé par Manisha Singh, remplacé par Keith Krach depuis juin 2019.

Les citoyens européens peuvent également se tourner vers leurs autorités nationales de protection des données, qui peuvent alors contacter directement la Federal Trade Commission (FTC) des États-Unis pour obtenir des précisions. Si aucune autre forme d’accord ne pouvait être trouvée, une procédure d’arbitrage avec une décision arbitrale exécutoire ferait office de frontière finale. En outre, toutes les entreprises pouvaient agir conformément aux recommandations des autorités européennes de protection des données. Les entreprises qui traitent des données à caractère personnel y sont dans tous les cas tenus.

L’une des conditions préalables à la validité du Privacy Shield était la décision d’adéquation prise par la Commission européenne, qui a certifié que les États-Unis disposaient de normes de protection des données adéquates pour le stockage et le traitement des données personnelles en provenance de l’UE. La décision d’adéquation de 2016 a été revue chaque année et renouvelée si le niveau de protection des données requis était atteint. La Commission européenne et le ministère américain du commerce ont mené cet examen conjointement avec la participation d’experts. La procédure a abouti à un rapport accessible au public qui a été soumis au Parlement européen et au Conseil.

Malgré ces mesures de protection des données très étendues, la surveillance de masse n’a pas été totalement exclue. Dans les six domaines suivants, qui laissent une certaine marge d’interprétation, les États-Unis ont pu collecter des données :

  • Lutte contre le terrorisme
  • Révélation des activités des puissances étrangères
  • Lutte contre la prolifération des armes de destruction massive
  • Cybersécurité
  • Protection des forces américaines et alliées
  • Lutte contre les menaces criminelles transnationales

Privacy Shield : avantages et inconvénients

Pour les citoyens de l’UE, les droits étendus permettant de porter plainte en cas de violations concrètes de la protection des données par des entreprises américaines figuraient parmi les avantages de l’accord Privacy Shield. Le principe de limitation de la finalité était également un élément important : les données ne pouvaient être enregistrées et traitées que pour une finalité clairement définie à l’avance et légalement admissible. Pour les organisations basées aux États-Unis, l’approbation d’une protection « adéquate » de la vie privée était essentielle pour le transfert de données en dehors de l’UE, et les entreprises participantes étaient dispensées des exigences des États membres.

Toutefois, le Privacy Shield EU-US a rencontré une opposition dès le départ. Les critiques ont fait valoir que l’accord n’était pas assez ambitieux. Certains se sont plaints que les exigences de la Cour européenne de justice n’étaient pas suffisamment respectées et que de nombreuses divergences n’étaient que dissimulées que par des artifices. Le poste de médiateur étant attribué au ministère des affaires étrangères, les critiques ont estimé que l’accord manquait d’indépendance institutionnelle et qu’il était en conflit avec le règlement général sur la protection des données (article 52, paragraphe 1 du RGPD). Ils ont également critiqué le fait que les citoyens européens concernés ne pouvaient pas intenter de procès contre les décisions du bureau du médiateur.

Un autre point essentiel de critique était que les mesures de surveillance de masse n’étaient pas soumises à un test de proportionnalité et, ce faisant, violaient le droit européen. Les États-Unis étaient toujours le pouvoir de contrôle central et il n’y avait aucune preuve d’une enquête menée par les autorités de surveillance nationales. Les critiques n’ont pas non plus tenu compte du contrôle urgent des grandes entreprises américaines en ligne.

En raison de ces lacunes, les critiques et les experts avaient déjà à l’époque supposé que l’accord ne résisterait pas à l’examen de la Cour de justice européenne et ne constituait donc pas une solution à long terme, juridiquement solide. Les différences manifestement minimes par rapport à la sphère de sécurité ont été dénoncées à plusieurs reprises. De nombreux critiques ont supposé que diverses lacunes en matière de protection des données n’étaient pas comblées par le Privacy Shield.

La mise en œuvre concrète du Privacy Shield

Après la fin abrupte du Safe Harbor, l’incertitude économique était très forte. On craignait des sanctions (sous forme d’amendes) si un examen devait révéler des violations de la protection des données. En outre, les nouvelles dispositions signifiaient que les entreprises allaient devoir faire face à des changements longs et coûteux dans le domaine de la protection des données.

À l’époque, de nombreuses entreprises ont adopté les clauses contractuelles types de l’UE, ou les ont déjà utilisées comme alternative ou complément à l’accord du Safe Harbor (Facebook notamment). Cette pratique s’est intensifiée pendant la période de transition jusqu’à ce que Privacy Shield EU-US soit plus largement appliqué et soit maintenu pendant toute sa durée de validité. Selon une étude de PWC, 75 % des entreprises américaines interrogées avaient l’intention d’utiliser des règles d’entreprise contraignantes pour sécuriser les transferts de données transfrontaliers avec l’Union européenne.

Les chiffres parlent d’eux-mêmes : dans la pratique, de nombreuses entreprises ne voulaient plus se fier uniquement à un accord sur la protection des données qui, comme son prédécesseur, n’éliminait pas les problèmes et les conflits fondamentaux en matière de protection des données. Avec la fin du Privacy Shield en vue, les contrôles annuels de validité ont servi à accroître la méfiance. L’utilisation alternative ou parallèle de clauses contractuelles types a également été une réaction à la mise en œuvre souvent lente de points clés du Privacy Shield aux États-Unis, par exemple le long délai pour pourvoir le poste de médiateur.

En résumé : un arrangement temporaire sans base solide

Depuis l’entrée en vigueur du RGPD, les accords internationaux sur la protection des données sont devenus beaucoup plus compliqués. C’est pourquoi le Privacy Shield est resté un arrangement transitoire, qui n’a fourni un cadre juridique contraignant pour les transferts internationaux de données que pendant une période limitée. Après son échec, le Privacy Shield a également généré beaucoup d’impuissance et d’incertitude pour les entreprises concernées.

Le sort du Privacy Shield prouve que les problèmes fondamentaux de protection des données ne peuvent être dissimulés à l’heure de la numérisation croissante, mais doivent être résolus de manière durable et dans le respect du RGPD. Sinon, les modèles commerciaux à long terme qui fonctionnent au niveau international et qui impliquent des données personnelles perdront leur fondement.

Une prise de conscience croissante de la protection des données se développe régulièrement aux États-Unis. On constate également une prise de conscience de l’importance de la collaboration avec le RGPD, comme en témoigne la loi californienne sur la protection de la vie privée des consommateurs California Consumer Privacy Act (CCPA). Toutefois, la question de savoir si les normes élevées et entièrement justifiées du RGPD doivent encore se transformer en une norme acceptée au niveau mondial et pouvant être transférée à tous les partenaires commerciaux numériques semble plutôt discutable à la lumière des opinions mondiales très divergentes concernant la protection des données.

Le RGPD, qui est complété par d’autres règlements de l’UE sur la protection des données, tels que la regulation de la confidentialité en ligne et des directives telles que les lois européeennes sur les cookies, pourrait devenir un point de discorde et un obstacle de plus en plus important dans les relations économiques internationales.

Veuillez prendre connaissance des mentions légales en vigueur sur cet article.


Attendez ! Nous avons quelque chose pour vous !
Votre messagerie professionnelle

Créez une adresse personnalisée
Affichez votre sérieux sur Internet
Nom de domaine inclus
À partir d' 1 € TTC/mois
Conseiller personnel inclus !