Privacy Shield, vers l’interdiction des transferts vers les Etats-unis ?

6 Jan 2020

Profil de DPO

Et si le Privacy Shield n’était pas aussi immuable qu’on pouvait le croire ? Ce Bouclier de Protection des données personnelles, accord transatlantique entré en vigueur le 1er août 2016, avait pour ambition de combler le flou juridique concernant les flux de données à caractère personnel des résidents européens vers les Etats-Unis.

Souvenez-vous…

Jusqu’en 2015, c’était le Safe Harbor qui autorisait les transferts de données personnelles vers les Etats-Unis à la condition que ceux-ci puissent bénéficier d’un niveau de protection adéquat.

Tant que personne ne vous dit non, vous pouvez continuer à utiliser leurs données”

Tout commence avec Max Schrems, avocat autrichien, venu assisté à une conférence donnée par un représentant de Facebook. Au cours de cette conférence, il se rend compte de la très grande liberté que s’octroie le réseau social sur les données à caractère personnel des résidents européens.

Les phrases “Tant que personne ne vous dit non, vous pouvez continuer à utiliser leurs données” ou encore “Vous pouvez faire ce que vous voulez, rien ne vous arrivera jamais” sont sans doute deux de celles qui ont motivé Max Schrems à déposer pas moins de 22 plaintes contre Facebook auprès de l’autorité irlandaise de la protection de la vie privée (le siège social de Facebook pour les activités européennes étant à Dublin).

L’affaire est remontée jusqu’à la Cour de Justice de l’Union Européenne qui a prononcé, en 2015, l’invalidité du texte sur lequel Facebook se basait pour transférer les données personnelles des européens vers les Etats-Unis : Le Safe Harbor.

L’avocat a depuis été rejoint par plusieurs associations mais son objectif est resté le même : faire cesser les transferts de données personnelles des européens de Facebook vers les USA, tant que la surveillance de masse sera monnaie courante sur le sol américain.

Aujourd’hui, sont donc remis en cause à la fois le Privacy Shield (accord transatlantique ayant remplacé le Safe Harbor) mais aussi les Clauses Contractuelles types (CCT), alternative juridique pour justifier des transferts des données personnelles des européens vers des pays non membre de l’UE.

Le Privacy Shield, garant de la protection des données personnelles ou simple passe droit ?

Il s’agit d’un mécanisme d’auto-certification pour les entreprises établies aux Etats-Unis. Ce mécanisme a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel de résidents européens vers des entreprises établies aux USA.

Mais quelles différences avec le Safe Harbor me direz-vous ? Excellente question!

La seule différence notable avec le Safe Harbor tient dans la création de voies de recours pour les citoyens européens. Ces derniers peuvent maintenant faire valoir leurs droits et porter plainte soit auprès des autorités de contrôles nationales, soit directement auprès des entreprises elles-mêmes.

Le Privacy Shield devait alors être la réponse solide aux abus dévoilés au grand jour par l’action de Max Schrems.

Cependant, et même la Commission européenne le reconnaît, le Privacy Shield n’empêche pas les mesures abusives telle que la surveillance de masse. C’est la raison pour laquelle de nombreux acteurs s’opposent au maintient du Bouclier. Parmi elles, la Quadrature du Net.

En procédure depuis de nombreuses années, l’association n’en démord pas : le Privacy Shield n’est pas un Bouclier, et le niveau de protection des entreprises américaines n’est pas « adéquat » à celui exigé par l’UE. Et pour cause, faire invalider cet accord serait pour elle “une façon de renforcer la jurisprudence européenne opposée à la surveillance de masse.

L’audience prévue initialement le 2 juillet dernier a été reportée, la Cour de justice de l’Union européenne ayant décidé d’ouvrir d’abord l’affaire dite “SCHREMS II” avant d’examiner ce dossier. Les deux dossiers étant liés, il était préférable pour la Cour de ne pas mener les deux conjointements.

« Shrems II », le retour ?

Si le Privacy Shield peut se montrer peu satisfaisant à bien des égards, il existe des solutions alternatives pour autoriser les flux transfrontaliers: Les Clauses Contractuelles Types (CCT), les Binding Corporate Rules (BCR), ou encore les règles d’entreprise contraignantes. (Voir la vidéo de Patrick Tiev sur le sujet).

L’autorité de protection des données irlandaise (la DCP), suite aux plaintes de Max Schrems, remet en cause une de ces solutions alternatives : les CCT.

Pour Schrems, au lieu d’ordonner à Facebook d’arrêter les transferts des données personnelles des européens, l’autorité irlandaise s’est tournée vers la CJUE pour invalider l’ensemble du système. Pour Max Schrems c’est comme “appeler à l’aide les pompiers européens, parce que vous ne savez pas souffler vous-même sur une bougie.« 

C’est ainsi que le 9 juillet dernier, une audience sur l’affaire désormais baptisée « Schrems II » (affaire C-311/18) a eu lieu à la Cour de justice de l’Union européenne (CJUE) à Luxembourg.

L’arrêt définitif de la CJUE n’est pas attendu avant le début de cette année 2020. Cependant, l’avocat général a rendu un avis favorable sur la procédure des CCT, le 19 décembre dernier. Max Schrems s’est aligné sur cet avis. Selon lui, il est nécessaire que l’autorité de contrôle irlandaise “fasse son travail” vis à vis de Facebook sans que tout le système légal mis en place pour les transferts de données personnelles soit remis en cause.

« Aucun client étranger ne fera confiance à l’industrie américaine s’il n’y a pas de solide protection de la vie privée aux États-Unis. »

Pour l’instant, ces mécanismes restent valables, mais ayez le soin d’anticiper ces décisions de justice qui pourraient provoquer quelques syncopes du côté de votre direction juridique si vous avez des transferts de données personnelles vers les Etats-Unis, en déterminant si d’autres mécanismes de transfert de données sont disponibles. Plus simplement, de plus en plus d’entreprises françaises se tournent vers des solutions européennes, pour éviter les encadrements juridiques bancals pour protéger de manière adéquat les flux de données personnelles UE-USA.

L’état d’esprit de Schrems à ce stade de la lutte pour la protection de la vie privée en dit long : “À long terme, j’espère que le législateur américain se rendra compte qu’aucun client étranger ne fera confiance à l’industrie américaine s’il n’y a pas de solide protection de la vie privée aux États-Unis. Vous ne pouvez pas dire «faites-nous confiance pour toutes vos données, mais vous n’avez en fait aucun droit

En attendant le verdict final de l’affaire Schrems II et de l’audience de la Quadrature du net attendue pour le début de l’année 2020, Adequacy vous souhaite une très bonne année et sera à vos côtés pour affronter ces enjeux cruciaux !