Privacy Shield : un accord de transfert de donnés controversé entre les États-Unis et l’Union européenne

De 2016 à 2020, le Privacy Shield UE-US a réglementé le transfert de données personnelles de l’UE vers les États-Unis. Mais en juillet 2020, l’accord sur le transfert de données a été déclaré invalide par la Cour de justice européenne (arrêt Schrems II), car il ne pouvait garantir un niveau de protection des données conforme au RGPD, et les exigences de sécurité nationale des États-Unis ont été considérées comme prioritaires. Au moins jusqu’à l’entrée en vigueur de la nouvelle réglementation, les entreprises américaines seront tenues davantage responsables et, si elles veulent éviter les sanctions, elles doivent désormais participer plus activement que jamais au débat sur la protection des données.

Bien que le Privacy Shield ait été invalidé, les entreprises de l’UE peuvent toujours exporter des données personnelles vers les États-Unis. La Commission européenne a décidé que les clauses contractuelles standard européennes (SCC), un autre instrument couramment utilisé pour les transferts de données, permettaient toujours le transfert de données au niveau international. Mais au lieu de se contenter de faire venir des données de l’Union européenne, les entreprises américaines certifiées au titre du Privacy Shield devront désormais négocier ce transfert par l’intermédiaire des SCC.

Suite à l’arrêt Schrems II, l’utilisation de clauses contractuelles types est soumise à des règles et conditions plus strictes : les entreprises de l’UE doivent prendre des mesures supplémentaires et, en principe, procéder à une évaluation au cas par cas de chaque transfert de données. Toutefois, les tribunaux européens ayant jugé que la protection des données aux États-Unis était limitée, les données de l’UE sont considérées comme peu sûres lorsqu’elles sont transférées vers les États-Unis.

En outre, les clauses contractuelles types sont soumises à l’examen des autorités européennes de contrôle et de protection des données. Ainsi, si la situation juridique dans un pays tiers empêche un destinataire de données de respecter les obligations prévues par les clauses contractuelles types, les transferts de données peuvent être suspendus, voire interdits. En d’autres termes, l’ensemble du processus doit être pris en compte lors de l’examen du niveau de protection des données. Tout au long du processus, il faut donc garantir que les autorités nationales de sécurité et d’enquête du pays destinataire n’ont pas accès aux données à caractère personnel.

Dans la situation actuelle, l’évaluation au cas par cas est particulièrement difficile pour les petites et moyennes entreprises, car elles n’ont normalement pas le savoir-faire et les moyens de vérifier si le niveau de protection des données est adéquat dans un pays tiers. En outre, l’arrêt de la CJUE ne précise pas exactement quelles normes concrètes doivent être appliquées à l’évaluation des cas individuels ou aux éventuelles extensions des clauses contractuelles types.

Néanmoins, les PME devraient s’attaquer activement à ce sujet. Les experts juridiques conseillent aux petites et moyennes entreprises de prendre les plus grandes précautions, et de créer une documentation solide sur leurs efforts en termes de protection des données. Ce faisant, les entreprises seront mieux préparées à un éventuel litige, et pourront mieux défendre leurs actions en justice une fois que le Privacy Shield aura pris fin.

Avec un flux de données ainsi restreint, comment les entreprises américaines qui collectent des données sur les citoyens européens doivent-elles progresser ? Quelles mesures doivent-elles prendre pour s’assurer qu’elles se conforment à tous les aspects formels des clauses standard de protection des données ? Avant tout, les entreprises préalablement certifiées au titre du Privacy Shield devraient examiner tous les flux de données, les contrats et les relations qui impliquent le transfert de données personnelles de l’UE vers les États-Unis. Dans la mesure où la situation juridique aux États-Unis sera désormais analysée de plus près par les entreprises de l’UE, et que la probabilité d’un accès inapproprié aux données sera évaluée avec plus d’attention, il est important que vous examiniez tous les accords et que vous déterminiez si vous souhaitez continuer à recevoir ces données. Une fois que vous l’aurez fait, vous devrez déterminer comment votre entreprise peut s’organiser pour maintenir ce flux de données. Si certains partenaires seront plus disposés à accepter ce nouvel accord pour maintenir le fonctionnement habituel, d’autres y verront certainement une chance de renégocier les accords en leur faveur.

Au cours de ce processus, il convient de préciser si votre entreprise assumera des obligations contractuelles particulières compte tenu de la situation actuelle (par exemple des obligations accrues de surveillance et de notification). Dans la situation actuelle, les entreprises de l’UE pourraient également demander aux partenaires commerciaux et aux fournisseurs de services américains d’utiliser tous les moyens techniques disponibles pour optimiser la protection des données, par exemple l’utilisation du chiffrement de bout en bout pour les logiciels de vidéo conférence.

Les entreprises européennes qui peuvent fonctionner sans transfert de données, services de Cloud, et serveurs dans des pays tiers hors UE doivent se tourner vers des alternatives respectueuses du RGPD en Europe. En outre, l’évolution de la législation en matière de protection des données devrait être suivie de près. Dans une liste des questions fréquemment posées, le Comité européen de la protection des données (CEPD) fournit des informations sur la situation actuelle aux parties intéressées.

Le bouclier de protection des données a été officiellement lancé à la mi-2016 pour succéder aux Safe Harbor Privacy Principles. L’objectif de cet accord était de protéger les données des citoyens européens qui sont stockées et traitées par des sociétés basées aux États-Unis après avoir y avoir été transférées. Ceci concernait exclusivement les données à caractère personnel, qui sont, par exemple, très souvent collectées dans le cadre du e-commerce. Les données à caractère personnel comprennent les numéros de téléphone, les identifiants, les numéros de cartes de crédit ou d’identification, les données relatives aux comptes, l’apparence d’une personne ou l’adresse des citoyens de l’UE, en combinaison avec d’autres données personnelles.

La validité du Safe Harbor s’est terminée en juillet 2020 par un arrêt de la Cour Européenne de Justice. Dans l’arrêt Schrems II du 16.07.2020, la CEJ estime que le niveau de sécurité requis par le Règlement Général sur la Protection des Données (RGPD) ne sera pas atteint si les données sont archivées et traitées aux États-Unis.

Ce faisant, la CEJ a également annulé la conclusion de la Commission européenne, qui a confirmé à plusieurs reprises que les États-Unis disposaient d’un niveau suffisant de protection des données. La décision de la CEJ a été déclenchée par une action en justice intentée par l’expert autrichien en matière de protection des données Maximilian Schrems, qui avait précédemment initié la fin de l’accord sur la sphère de sécurité par une action en justice. Dans ce procès, Schrems voulait interdire à Facebook Ireland de transférer ses données personnelles aux États-Unis, en déposant une plainte auprès de l’autorité irlandaise de protection des données. Comme la Cour de Justice irlandaise n’a pas engagé de procédure, Schrems l’a poursuivie. Dans le second cas, l’autorité irlandaise de protection des données a renvoyé l’affaire devant la CEJ pour un examen juridique, qui a finalement annulé le Privacy Shield UE-US.

Le Safe Harbor était fondé sur des mesures et des normes spéciales de protection des données qui devaient être respectées par les États-Unis. Un élément important était que les entreprises américaines pouvaient se certifier avec le Privacy Shield. Après qu’une entreprise américaine se soit volontairement soumise aux termes de l’accord, un examen a été effectué par le ministère américain du commerce. Une fois qu’une entreprise avait mené à bien le processus, elle était incluse dans une base de données ouverte au public. La liste comprenait un total de 5384 organisations au moment où le Privacy Shield a été déclaré invalide.

Le Privacy Shield UE-US garantissait aux citoyens européens des droits complets lorsque des données personnelles étaient transférées à des entreprises certifiées aux États-Unis. Les citoyens européens pouvaient aussi contacter directement les entreprises pour faire valoir ces droits. Ces entreprises devaient répondre aux préoccupations des citoyens dans un délai de 45 jours. Les droits garantis dans le cadre du Privacy Shield étaient notamment les suivants :

• Droit à l’information et à la divulgation
• Droit d’opposition (une opposition pourrait être faite contre un traitement de données si nécessaire)
• Droit de rectifier des données inexactes
• Droit à la suppression des données
• Des procédures de plainte/recours étaient disponibles

Pour faire respecter et protéger leurs droits, les citoyens de l’UE peuvent également s’adresser à un médiateur au sein du département d’État américain. Le médiateur devrait être indépendant de tous les services de renseignement, enquêter sur les préoccupations des particuliers, et fournir des informations sur le respect du droit applicable dans des cas spécifiques. Toutefois, ce poste n’a été pourvu qu’en 2018, sur l’insistance de l’UE. Il a d’abord été occupé par Manisha Singh, remplacé par Keith Krach depuis juin 2019.

Les citoyens européens peuvent également se tourner vers leurs autorités nationales de protection des données, qui peuvent alors contacter directement la Federal Trade Commission (FTC) des États-Unis pour obtenir des précisions. Si aucune autre forme d’accord ne pouvait être trouvée, une procédure d’arbitrage avec une décision arbitrale exécutoire ferait office de frontière finale. En outre, toutes les entreprises pouvaient agir conformément aux recommandations des autorités européennes de protection des données. Les entreprises qui traitent des données à caractère personnel y sont dans tous les cas tenus.

L’une des conditions préalables à la validité du Privacy Shield était la décision d’adéquation prise par la Commission européenne, qui a certifié que les États-Unis disposaient de normes de protection des données adéquates pour le stockage et le traitement des données personnelles en provenance de l’UE. La décision d’adéquation de 2016 a été revue chaque année et renouvelée si le niveau de protection des données requis était atteint. La Commission européenne et le ministère américain du commerce ont mené cet examen conjointement avec la participation d’experts. La procédure a abouti à un rapport accessible au public qui a été soumis au Parlement européen et au Conseil.

Malgré ces mesures de protection des données très étendues, la surveillance de masse n’a pas été totalement exclue. Dans les six domaines suivants, qui laissent une certaine marge d’interprétation, les États-Unis ont pu collecter des données :

• Lutte contre le terrorisme
• Révélation des activités des puissances étrangères
• Lutte contre la prolifération des armes de destruction massive
• Cybersécurité
• Protection des forces américaines et alliées
• Lutte contre les menaces criminelles transnationales

Veuillez prendre connaissance des mentions légales en vigueur sur cet article.