En droit européen, les Etats membres de l’EEE ne peuvent transférer des données personnelles vers un Etat tiers sauf à ce que ce dernier garantisse un niveau de protection adéquate, ce qui selon la Cour Justice de l’Union Européenne (CJUE) doit s’entendre comme « un niveau essentiellement équivalent »[1].
Ce niveau équivalent peut être assuré par un encadrement contractuel[2] des relations entre le responsable de traitement et le destinataire des données.
Qu’est-ce qu’une décision d’adéquation ?
Le caractère adéquat du niveau de protection offert par un pays tiers s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données et notamment les pays de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.
Les États membres et la Commission s’informent mutuellement des cas dans lesquels ils estiment qu’un pays tiers n’assure pas un niveau de protection adéquat
La Commission peut constater, qu’un pays tiers assure un niveau de protection adéquat, en raison de sa législation interne ou de ses engagements internationaux visant à la protection de la vie privée et des libertés et droits fondamentaux des personnes. Les États membres doivent alors se conformer à la décision de la Commission.
Rappel des faits
Par un jugement[3] en date du 6 octobre 2015, la CJUE avait invalidé la décision par laquelle la Commission Européenne avait estimé que l’accord du Safe Harbor signé avec les Etats-Unis garantissait un niveau de protection adéquat aux données objets des transferts. Cette décision a permis d’accélérer le cours des choses puisque la Commission Européenne et les autorités américaines travaillaient depuis deux ans à la rédaction d’un nouvel accord.
La Commission européenne a publié un projet de décision en février dernier afin d’obtenir l’avis du Parlement européen, du G29 et du Contrôleur européen de la protection des données. Ces derniers ont tous émis des avis critiques quant aux garanties juridiques proposées par le Privacy Shield.
Pourtant, le 8 juillet dernier, la Commission européenne a formellement reconnu le Privacy Shield comme un instrument juridique garantissant un niveau de protection adéquat. Après avoir analysé en détail la loi et les pratiques américaines, la Commission en a conclu que les principes du Privacy Shield prévus dans les Annexes (inchangées) assuraient un niveau de protection adéquat. Elle constate en effet que la politique américaine adoptée par l’administration Obama et les agences de renseignement limite la surveillance des personnes, qu’elle « cible » des personnes « spécifiques » et ne procède pas à une surveillance massive.
En quoi consiste le Privacy Shield ?
A l’instar du Safe Harbor, le Privacy Shield est un système d’auto-certification par lequel les entreprises américaines agissant en tant que responsables de traitements ou sous-traitants, déclarent adhérer à l’accord et s’engagent à en respecter les principes.
Le Département américain du Commerce assurera la supervision du Privacy Shield. Il vérifiera que la politique de confidentialité des organisations concernées soit conforme aux principes du Privacy Shield et accessible au public et que les entreprises qui n’adhéreraient plus à l’accord continuent à en respecter les principes tant qu’elles détiendront des données personnelles. Les contrôles ex-ante pourront se limiter à des questionnaires ; en cas de plainte et en l’absence de réponse satisfaisante ou en cas de preuve évidente d’une violation des principes, les contrôles ex-post seront systématiques.
La Federal Trade Commission (FTC) et le Département du Transport s’occuperont de son application et devront coopérer avec les autorités nationales européennes de protection des données.
Comme cela va toujours mieux en l’exprimant clairement, le texte précise que les entreprises dont l’activité tombera sous le coup de l’application de l’article 3 du Règlement (GDPR) ne pourront se contenter de faire valoir leur adhésion au Privacy Shield pour démontrer leur conformité au Règlement.
Les principes du Privacy Shield
Sauf exceptions (sécurité nationale, intérêt public, application de la loi), les organisations certifiées Privacy Shield s’engageront à respecter un certain nombre de principes.
Le principe d’information (Notice principle) consiste à informer les personnes sur les traitements de données les concernant, à publier la politique de confidentialité et à la rendre accessible sur les sites de la FTC, dans la liste du Privacy Shield et sur le site de résolution des litiges.
Le principe d’intégrité des données selon lequel les données doivent être fiables, à jour, exactes, complètes et le principe de finalité spécifique en vertu duquel il ne peut y avoir d’utilisation ultérieure des données personnelles pour une finalité incompatible avec celle de la collecte.
Le principe de choix qui permet néanmoins à la personne en cas de nouvelle finalité « compatible », de s’opposer au traitement[4] (Opt-Out)
Le principe de sécurité qui impose aux adhérents au Privacy Shield et à leurs sous-traitants de prendre des mesures raisonnables et appropriées en tenant compte des risques.
Le principe d’accès aux données qui ne peut être restreint que dans des cas exceptionnels. Les personnes ont le droit de corriger ou de supprimer les données inexactes ou traitées en violation des principes. Concernant les salariés, les organisations auront l’obligation de coopérer en permettant un accès direct aux données ou par l’intermédiaire de l’employeur situé en Europe.
Interrogations concernant les traitements automatisés servant à prendre des décisions affectant les personnes : Dans un certain nombre de cas spécifiques (crédit, emploi, hypothèques), les lois américaines offrent des garanties contre les décisions dommageables. Cependant en raison du nombre croissant de traitements automatisés notamment à des fins de profilage pour prendre des décisions vis-à-vis des personnes, la Commission et les autorités US ont décidé « d’entamer un dialogue sur les décisions basées sur des traitements automatisés et d’échanger les points de vue d’ici la révision annuelle du Privacy Shield ».
Application et responsabilité pour les transferts ultérieurs
L’auto-certification rendra l’application des principes obligatoire.
Les organisations devront renouveler leur adhésion chaque année. Elles devront prendre des mesures de vérification du respect des principes et de la conformité ; cela pourra se faire sous la forme d’auto-évaluations (procédures et formations internes) ou d’évaluation externe. Les organisations devront mettre en place un mécanisme de résolution de litiges et seront soumises aux autorités américaines de contrôle.
Le Privacy Shield renforce la responsabilité des organisations américaines concernant les transferts ultérieurs de données vers un pays tiers : les transferts devront avoir une finalité limitée et spécifique. Ils devront faire l’objet d’un contrat assurant le respect des principes du Privacy Shield, obligeant les destinataires à informer l’organisation certifiée dès lors qu’elle ne serait plus en mesure de respecter lesdits principes et prévoyant la suppression des données ou de leur caractère identifiant une fois la finalité réalisée. Quant aux transferts de données sensibles, ils devront faire l’objet d’un consentement exprès des personnes. Enfin, en cas de traitement non conforme dans la chaine de sous-traitance, le responsable de traitement devra prouver qu’il n’est pas responsable de la cause du dommage.
Pour les traitements portant sur les données personnelles des salariés le texte prévoit une exception importante à l’obligation de mettre en place un “accord sur les transferts ultérieurs” si le respect des principes du Privacy Shield est garanti par d’autres instruments tels que les Règles Internes de groupe ( BCR[5]) ou autres outils juridiques dans le groupe (ex. des programmes de conformité et de contrôle). Cela permet une plus grande flexibilité en cas de partage des données avec les filiales ou les sous-traitants d’un groupe.
Les organisations américaines traitant de données de salariés européens devront prendre en considération les risques liés à l’intervention des CNIL européennes avant d’opter pour le Privacy Shield.
Résolutions de litiges, moyens de recours et garanties d’application des décisions
Les résidents européens disposeront de nombreuses possibilités de résolution des litiges :
La personne pourra d’abord se plaindre auprès de la société concernée qui devra répondre dans les 45 jours. En cas de données relatives aux salariés, l’organisation certifiée aura l’obligation de s’engager à se conformer aux conseils prodigués par l’autorité nationale de protection des données.
Les organisations peuvent proposer un mécanisme de résolution des litiges (Alternative Dispute Resolution) sans frais ou des programmes privés (Privacy Programs).
Elles peuvent aussi accepter la supervision des autorités européennes de protection des données (obligatoire en cas de données RH). Ces dernières devront en référer au Département du Commerce qui aura 90 jours pour répondre ou à la FTC.
Les personnes peuvent dans tous les cas s’adresser à la CNIL d’un Etat membre qui adressera la plainte au département du Commerce et ou à la FTC.
En cas d’inaction de l’autorité nationale et dans le cas où son intervention serait obligatoire, la personne pourra la poursuivre en justice.
Enfin, ultime possibilité en cas d’échec des voies énoncées ci-dessus, la personne pourra recourir à l’arbitrage. Les arbitres (issus d’un panel de personnes désignées par la Commission et le Département du Commerce) pourront prendre des décisions contraignantes à l’encontre des organisations certifiées. Afin de limiter le coût des actions pour les personnes, elles pourront y participer par vidéo-conférence ou conférences téléphoniques, sans frais de traduction.
Pour ce qui relève de la sécurité nationale, le Privacy Shield prévoit l’intervention d’une Ombudsperson, indépendante des services de renseignement mais sous l’autorité directe du Secrétaire d’Etat américain.
L’Ombudsperson se contentera de confirmer à la personne que la loi a été respectée ou dans le cas contraire, que la violation de la conformité a cessé. Il ne se prononcera jamais sur l’éventuelle existence d’activité de surveillance.
Bien que les personnes aient plusieurs recours à leurs disposition, ceux-ci ne permettront pas de couvrir toutes les situations relevant des actes exécutifs du Président[6].
Accès aux données et utilisation des données personnelles par les autorités publiques américaines
Faisant suite aux révélations d’Edward Snowden, dès 2014, le Président Obama a pris une Directive Présidentielle[7] (PPD-28), afin d’encadrer les opérations de renseignement.
Le « USA Freedom Act » limite aussi la collecte massive des données et permet la publication de rapports de transparence sur les demandes d’accès aux données faites par le gouvernement.
Il est précisé que les personnes ont un intérêt légitime à la protection de leur vie privée.
D’autre part, la PPD28 ne pourra pas être utilisée à des fins de renseignement économique.
La collecte devra être ciblée et encadrée par des procédures définies … là où c’est possible.
Dans les cas où cela s’avérerait impossible « pour des raisons techniques ou opérationnelles », la collecte de masse devrait se limiter à 6 cas limitatifs de sécurité nationale.
Enfin, la conservation des données devra être limitée à cinq ans…en principe.
Les Etats-Unis distinguent la collecte des données dite « bulk » de l’accès et de l’utilisation qui peut en être faite de manière ciblée. Ils indiquent que la Section 702 du FISA porte sur l’utilisation des données aux fins de surveillance « ciblée », et non massive ou indiscriminée.
Toutefois on rappellera que la définition du renseignement étranger est très large ; elle porte notamment sur les informations concernant toute personne quelle que soit sa nationalité et relative à la conduite des affaires étrangères des Etats-Unis.
La Commission précise pour sa part, qu’elle continuera à vérifier l’application de la législation américaine ; elle suivra les conclusions du rapport attendu du comité chargé d’évaluer l’implémentation de la directive PPD-28, ainsi que la révision de la Section 702 du FISA (à l’origine des programmes PRISM et UPSTREAM) en 2017.
En outre, la Commission sera tenue informée par les Etats-Unis de l’évolution de la réglementation.
Quel avenir pour le Privacy Shield ?
Loin d’être un texte figé, le Privacy Shield devrait en principe constituer le point de départ d’un cadre juridique évolutif pour les transferts de données personnelles outre atlantique.
Il fera, a minima, l’objet d’une révision annuelle et dès l’application du Règlement de protection des données en mai 2018.
Depuis l’invalidation du Safe Harbor, une partie des entreprises américaines ont choisi de signer des clauses contractuelles types avec leurs destinataires (instrument juridique permettant d’assurer la protection des données faisant l’objet d’un transfert vers un Etat tiers). Mais et malgré les menaces de sanction proférées par les CNIL européennes, beaucoup d’autres entreprises ont préféré temporiser et attendre l’adoption d’un nouvel accord.
Or, nonobstant l’adoption du Privacy Shield, un climat d’incertitude continue à peser sur l’avenir des transferts de données personnelles vers les Etats-Unis. D’une part, le Privacy Shield et les clauses contractuelles types feront l’objet d’action en justice visant à contester leur validité. D’autre part, le Privacy Shield assure un niveau de protection équivalent à celui prévu par la Directive 95/46, mais celle-ci sera remplacée par le Règlement européen à partir de 2018.
Enfin, n’oublions pas que les autorités nationales de protection des données des Etats membres ont le pouvoir d’interdire temporairement ou définitivement un traitement.
Mais qui, mis à part l’autorité du Schleswig Holstein[8] osera aller jusque-là ?
[1] CJUE, 6 octobre 2015, Schrems, affaire C-362/14
[2] Clauses contractuelles types de la Commission Européenne
[3] Arrêt dans l’affaire C-362/14. Maximillian Schrems / Data Protection Commissioner.
[4] Sauf en cas de traitement à des fins d’archivage, de journalisme, de littérature et art, de recherche scientifique et historique, de statistiques
[5] Binding Corporate Rules
[6] Executive order 12333 et PPD 28
[7] Presidential Policy Directive 28
[8] https://www.datenschutzzentrum.de/artikel/981-.html
