Safe Harbour et Privacy Shield pour les nuls
ITEANU Blog - Olivier Iteanu, 21/04/2016
Le 6 Octobre 2015, la Cour de Justice de l’Union Européenne (CJUE) a invalidé le programme Safe Harbor, programme conçu par le Gouvernement des Etats-Unis et conclu avec la Commission européenne en juillet 2000. Depuis lors, un autre vocable a pris place dans le public : Privacy Shield. De quoi s’agit il ? Quels sont les enjeux ? Questions auxquelles nous allons ici répondre. Que chacun se fasse son idée ensuite.
Alice et Bob ont des données à caractère personnel, comme chacun d’entre nous, c’est-à-dire des données susceptibles de les identifier directement ou indirectement. Alice a confié certaines de ses données à un e-marchand auprès duquel elle a procédé à des achats en ligne et s’est inscrite à son programme de fidélité. Bob a confié ses données à son employeur, pour le traitement notamment de sa paie, de sa formation professionnelle, de sa carrière.
Ce faisant, Alice et Bob, citoyens européens, ont des droits vis-à-vis du e-marchand et de l’employeur, qualifiés de responsable de traitement. Ces responsables doivent assurer la sécurité et la confidentialité des données traitées vis-à-vis de tiers non autorisés. Ils ont dû également déclarer leur traitement à la CNIL et à ce titre, ont déclaré une finalité du traitement, une durée de conservation de données notamment, qu’ils doivent respecter sous peine de sanctions pénales prononcées par un Tribunal correctionnel ou de sanctions pour non-conformité prononcées par la CNIL.
Enfin, le e-marchand et l’employeur ont l’obligation de par la Loi de ne pas « procéder ou de faire procéder à un transfert de données à caractère personnel faisant l'objet ou destinées à faire l'objet d'un traitement vers un Etat n'appartenant pas … » à l’Union européenne. A défaut, ces responsables de traitement sont passibles de sanctions prévues au Code pénal.
L’objectif de cette réglementation européenne est d’assurer au citoyen européen un niveau de protection équivalent à celui dont il bénéfice au sein de l’Union européenne. Pour adoucir la règle, la commission européenne a prévu un certain nombre d’exceptions, notamment en qualifiant de pays adéquats, un certain nombre d’Etats soit qui disposent d’une législation nationale équivalente à la réglementation européenne en pareille matière, soit qui ont signé des traités internationaux qui les engagent à une telle protection. Une dizaine de pays en dehors de l’Union européenne ont ainsi été qualifiés de pays adéquats. Il s’agit d’Andorre, de l’Argentine, du Canada, d’Israël, de la Nouvelle-Zélande, de la Suisse et de l’Uruguay, outre une poignée d’iles à fiscalité avantageuse.
Le problème est que les Etats-Unis d’Amérique ne sont pas éligibles au rang de pays adéquat, pour, notamment, n’avoir aucune législation fédérale en matière de protection des données à caractère personnel. Le problème aussi, est qu’il est difficile aujourd’hui à l’heure des réseaux numériques, de la globalisation et du commerce international sans frontières, de se passer des Etats-Unis.
La Commission européenne a dès lors, par une Décision 2000/520 de Juillet 2000, conclu avec le Department of commerce du gouvernement des Etats-Unis, un programme d’autorégulation, purement déclaratif, par lequel les entreprises et organisations qui y adhèrent, s’engagent à assurer aux traitements reçus d’Europe, une protection équivalente à celle accordée au sein de l’Union européenne. Ce programme, approuvé par la Commission européenne, a pris pour nom « Safe Harbor »
De cette manière, les Etats-Unis et les seules entreprises qui ont adhéré au Safe Harbor, constituent une exception à l’interdiction de principe d’exportation des données à caractère personnel européennes, hors de l’Union européenne.
Un jeune étudiant autrichien du nom de Max Schrems ne l’a pas entendu de cette oreille.
Membre de Facebook, dont il avait accepté les Conditions générales d’utilisation qui indiquaient expressément que ses données personnelles seraient transférées aux Etats-Unis mais que l’entreprise américaine était membre du Safe Harbour, il a d’abord saisi la Commission européenne contestant l’accord passé, puis, devant le rejet de sa requête, a saisi les juridictions irlandaises, lieu d’établissement de la filiale européenne de Facebook. Ces juridictions ont posé une question préjudicielle à la Cour de Justice de l’Union Européenne (CJUE) sur la légalité du Safe Harbour.
C’est ainsi qu’on arrive à la décision de la CJUE invalidant en Octobre 2015, l’accord conclu 15 ans plus tôt en Juillet 2000.
Pour arriver à cette décision, les juges européens, rappelant les révélations d’Edward Snowden sur un autre programme américain appelé Prism, auquel ont adhéré de grandes entreprises américaines donnant à la NSA un accès aux données qu’elles traitent, constatent que « toutes les entreprises participant au programme Prism qui permettent aux autorités US d’avoir accès à des données stockées et traitées aux USA semblent être certifiées dans le cadre … » du Safe Harbour, ce qui est contradictoire. Or, la CJUE considère que la Commission européenne n’avait pas le pouvoir de conclure cet accord Safe Harbor, qui dépossède les CNIL européennes de tout pouvoir de contrôle sur les données des européens ainsi transférés, d’où l’invalidation de cet accord à compter de l’arrêt de la CJUE, sans rétroactivité.
Les conséquences pratiques de cette invalidation sont colossales. A compter du 6 Octobre 2015 et jusqu’à aujourd’hui, tout transfert de données personnelles vers les Etats-Unis est illégal, sauf autorisation exprès d’une CNIL Européenne qui peut être accordée au cas par cas sur demande, ou à l’intérieur d’un groupe (Binding corporate rules), ou sur la base de contrats conclus entre le e-marchand ou l’employeur d’Alice et Bob, avec des prestataires américains qui hébergeront leurs données, à la condition expresse que ces contrats reprennent à la virgule prêt, des clauses types élaborés par la Commission européenne.
A la suite de la décision d’invalidation, les CNIL européennes regroupées au sein d’un Groupe de travail informel appelé G29, ont tout d’abord donné trois mois à la Commission européenne pour trouver un nouvel accord, à défaut de quoi elles se réservaient la faculté d’engager des contrôles.
Les choses n’en sont d’ailleurs pas restées là, puisque le 26 Janvier 2016, la CNIL mettait en demeure publiquement Facebook Inc. et sa filiale en Irlande, de se conformer à la Loi informatique et libertés françaises sous trois mois, pointant ce qu’elle considérait être un certain nombre de non conformités à la Loi, notamment l’export non autorisé des données personnelles d’européens aux Etats-Unis.
C’est ainsi qu’entre en jeu, le nouvel accord en cours de négociation entre la Commission européenne et le gouvernement des Etats-Unis, désormais baptisé Privacy Shield en lieu et place de feu Safe Harbor.
A l’heure où sont écrites ces lignes, on connaît le projet d’accord, mais rien n’assure qu’il se trouve dans sa forme finale.
Pour garantir la conformité aux exigences européennes des traitements des données effectués par les entreprises américaines, l’accord définit des principes (les « Privacy Shield Principles ») auxquels ces entreprises doivent adhérer et qu’elles doivent respecter.
Les entreprises qui violent ces principes pourront être sanctionnées et devront mettre fin à l’utilisation des données collectées.
L’accord envisage également de limiter la surveillance massive des données personnelles des citoyens européens pratiquée par les services de renseignement américains. Seul l’accès aux données à des fins de sécurité nationale, d’intérêt public ou de respect de la loi est autorisé, sous réserve du caractère nécessaire et proportionné de la surveillance.
Cette surveillance est subordonnée au contrôle d’un médiateur spécialement créé par le futur Privacy Shield, l’Ombudsman.
L’accord met en place un dispositif de recours ouvert aux citoyens européens. Tout citoyen pourra saisir l’Ombudsman vçia sa Cnil locale, après s’être adressé en vain à l’entreprise concernée, condition préalable de la saisine. Cependant, les pouvoirs de cet Ombudsman ne seront pas coercitifs.
Enfin, un mécanisme de réexamen annuel vise à contrôler l’efficacité du Privacy Shield.
Le 13 avril 2016, le G29 a rendu public son avis sur le Privacy Shield.
Le G29 des Cnil européennes souligne que des améliorations significatives ont été apportées à la protection des données à caractère personnel.
Cependant, le groupe de travail relève également un certain nombre de lacunes de l’accord : manque général de clarté, imprécisions quant au régime de surveillance massive des données et incertitudes quant à l’efficacité et l’indépendance du médiateur, discordances entre certains principes américains et leurs équivalents européens, complexité des voies de recours ouvertes aux citoyens européens…
Les opposants au Privacy Shield font valoir que derrière le changement de nom, le changement n’est que de façade.
Ils constatent que cet accord est construit sur les mêmes bases que le Safe Harbor. Il met au prise les mêmes acteurs : le département du commerce du gouvernement américain, la Federal trade Commission, sauf l’arrivée de l’Ombudsam, dont l’efficacité reste à démontrer. Surtout, il s’agit d’un programme d’auto régulation et déclaratif comme … le Safe Harbor. Enfin, l’Ombudsman, la grande innovation du projet de texte, n’a aucun pouvoir coercitif. A l’usage seulement, on pourra juger de son pouvoir réel et … de son indépendance.
Ils lui prédisent dès lors une fin certaine, ce que personne ne peut en réalité prédire à la date d’aujourd’hui.
Enfin, ils pointent l’autre grand manquement au système imaginé par la Commission européenne. Pendant qu’en Europe, les contraintes réglementaires s’accumulent pour les entreprises européennes dans l’attente d’un projet de règlement qui s’annonce, La même commission européenne semble se satisfaire des promesses de leurs concurrents américains.
N’y a-t-il pas là, un écart de concurrence particulièrement préjudiciable aux entreprises européennes ?