EU-US Privacy Shield : comment transférer les données aux Etats-Unis ?

En 2015, Max Schrems, un ressortissant autrichien, obtient l'invalidation du Safe Harbor. Se pose alors la question de ce que vont devenir les plus de 4 000 entreprises adhérentes ? Comment vont-elles pouvoir transférer leurs données ?

En 2000, la Commission européenne décide d’adopter un cadre défini par le département du Commerce des États-Unis, qu’elle considère en adéquation avec ses standards en matière de protection des données. Le Safe Harbor – ou « sphère de sécurité » – est ainsi créé. À l’époque, tout se passe bien et environ 4 000 entreprises dans le monde font confiance à ce cadre solide pour mener leurs activités et transférer des données aux quatre coins du globe, notamment entre l’Union européenne et les États-Unis. Mais quelque 15 années plus tard, Max Schrems, un ressortissant autrichien, porte plainte contre la société Facebook qui exploite le réseau social du même nom, arguant que celle-ci transfère ses données aux États-Unis, et par conséquent, à l’Agence nationale de la sécurité américaine (dans le cadre du programme PRISM). En 2015, M. Schrems obtient gain de cause et le Safe Harbor est invalidé. Mais qu’allait-il advenir des plus de 4 000 entreprises adhérentes ? Comment allaient-elles pouvoir transférer leurs données ? Après tout, les affaires devaient continuer.

Début 2016, les États-Unis et la Commission européenne regagnent la table des négociations pour mettre en place un nouveau cadre plus efficace. De ces échanges naît le EU-US Privacy Shield – le « bouclier de protection des données UE-États-Unis » –, suivi dans la foulée par le Swiss-US Privacy Shield. Mais malgré les grands espoirs fondés sur ce nouveau programme censé répondre à tous les problèmes de confidentialité, des doutes concernant sa longévité commencent très vite à planer. Or, à l’époque, plus de 5 000 entreprises investissent du temps, de l’argent et des ressources dans la certification Privacy Shield, dont beaucoup pour la deuxième fois après le fiasco du Safe Harbor. Les craintes s’avèrent justifiées, car à peine quatre ans plus tard, le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) se prononce de nouveau en faveur de Max Schrems et considère le Privacy Shield comme un mécanisme invalide de transfert de données vers les États-Unis. La décision prend effet immédiatement, ce qui ne laisse aux entreprises aucun "délai de grâce" et présage une certaine confusion en attendant la mise en œuvre de nouvelles mesures de protection.

Avant de parler de l’avenir et des options actuellement disponibles, revenons brièvement sur les raisons qui ont entraîné l’invalidation des deux précédents cadres. Cette analyse nous aidera peut-être à trouver une solution adaptée pour éviter de nous retrouver victimes des mêmes failles.

Le Safe Harbor a été invalidé en grande partie à cause des agences de renseignement américaines. Le texte permettait en effet aux entreprises américaines adhérant volontairement au programme de partager des données avec ces agences, ces dernières étant en dehors du dispositif. Seulement, aucune mesure n’avait été mise en place pour prouver, d’une façon ou d’une autre, que les données qui tombaient dans les mains de ces agences seraient correctement protégées. C’était un casse-tête insoluble. Le Privacy Shield a subi à peu près le même sort. Pour la CJUE, ce cadre plaçait les besoins des agences de renseignement américaines bien au-dessus des droits des personnes concernées et des citoyens européens dont les données étaient transférées de l’UE vers les États-Unis. Dans un monde hyperconnecté, comment alors les entreprises basées dans l'UE peuvent-elles continuer à transférer des données vers les États-Unis ?

Dans leur verdict du mois de juillet, les juges ont fermement rejeté la requête de Max Schrems demandant l’invalidation des clauses contractuelles types (CCT) – ou Standard Contractual Clauses (SCC) en anglais – en plus du Privacy Shield. À juste titre, car ce sont les CCT qui permettent les transferts transatlantiques de données. Bien sûr, le moyen le plus simple pour une entreprise basée dans l’UE de ne pas être affectée par cette situation consiste à restructurer ses flux de données pour empêcher que ses données soient envoyées vers une entreprise basée aux États-Unis. Mais avec des processus et procédures ancrés de longue date, une telle démarche peut s’avérer beaucoup trop complexe. Voyons donc comment les CCT peuvent nous aider.

Comme beaucoup d’autres régions, les États-Unis sont désormais considérés comme un "pays tiers", c’est-à-dire un pays dont les lois nationales sur la protection des données ne sont ni au-dessus ni équivalentes à celles de l’UE. Les CCT encadrent tous les transferts de l’UE vers les pays tiers. Elles restent donc utilisables, du moins à moyen terme. Cependant, avant tout transfert, les exportateurs de données sont désormais tenus de démontrer que les informations envoyées bénéficieront de la même protection que si elles étaient transférées au sein de l’UE. Si vous avez eu recours aux CCT pour d’autres transferts, cela n’aura rien d’inhabituel. En revanche, si vous débutez avec les CCT et que jusqu’ici vous vous en remettiez uniquement au Safe Harbor ou au Privacy Shield, la tâche peut avoir de quoi effrayer. Compte tenu des deux invalidations (du fait des pouvoirs excessifs des autorités de surveillance américaines), démontrer des niveaux de protection adéquats peut se révéler plus que difficile.

En parlant de pays tiers, rappelons qu’après décembre 2020, le Royaume-Uni figurera sur cette liste si une décision d’adéquation n’est pas adoptée avant cette date. Cela dit, une fois sorti de l’UE, le pays voudra certainement pouvoir transférer des données vers les États-Unis et l’UE comme il le fait aujourd’hui, à savoir librement. Or, à l’image des États-Unis, le Royaume-Uni dispose également de lois de surveillance, regroupées au sein de la loi de 2016 sur les pouvoirs d’enquête, l’Investigatory Powers Act 2016. Ce pays peut-il être considéré en adéquation quand les États-Unis ne le sont pas ? La réponse est non. Et connaissant en plus la volonté du Royaume-Uni de maintenir ses échanges de données avec les États-Unis, difficile de justifier une telle adéquation. Toute entreprise basée dans l’UE qui souhaite avoir des échanges commerciaux avec le R.-U, c’est-à-dire y transférer des données, devra mettre en place des CCT si ce dernier rejoint la liste des pays tiers. Faut-il y voir un obstacle inquiétant de plus ? Seul le temps nous le dira, même si l’on peut d’ores et déjà supposer que cela ne contribuera pas à faciliter les choses ou à les rendre plus efficaces.

Qu’est-ce qui permet alors aux CCT de fonctionner dans cette situation ? Les CCT sont un ensemble standard et non négociable de conditions et d’obligations imposées aux deux parties pour assurer la protection des données. L’exportateur reçoit de l’importateur la garantie que les données transférées recevront les mêmes niveaux de protection que si elles n’avaient jamais quitté l’Espace économique européen (EEE). C’est un facteur de différenciation critique lorsqu’il s’agit d’opérateurs de pays tiers. Les obligations sont conformes au Règlement général sur la protection des données (RGPD), ce qui contraint l’importateur des données de s’y conformer, qu’il relève naturellement, ou pas, du champ d’application de ce règlement en raison des obligations et des responsabilités imposées.

Comme mentionné ci-dessus, les CCT comportent encore quelques mises en garde dont il faut être conscient pour se servir de ces clauses comme base juridique. Autrement dit, il est important de savoir où vont les données. La CJUE a clairement indiqué que si des lois nationales permettaient aux autorités publiques ou aux services de de renseignements d’interférer avec les droits des personnes concernées, les CCT seraient alors considérées comme inadéquates. Cette situation ne s’appliquant pas qu’aux États-Unis, mais à n’importe quel pays tiers, elle mérite d’être soulignée. Il existe toutefois une autre option.

Les règles d’entreprise contraignantes (Binding Corporate Rules, BCR) permettent à des groupes d’entreprises de démontrer leur engagement en matière de protection des données (principes, stratégie, mise en œuvre). Mais comme les CCT, les règles d’entreprise contraignantes peuvent se heurter à des problèmes tels que de possibles interférences d’agences gouvernementales. Elles sont néanmoins vues d’un bon œil compte tenu des critères et seuils élevés requis pour en obtenir l’accréditation.

Les règles d’entreprise contraignantes et les clauses contractuelles types apparaissent, à moyen terme, comme la meilleure voie pour les entreprises qui souhaitent transférer des données vers les États-Unis ou un autre pays tiers. Néanmoins, je crains que les BCR ne soient hors de portée, tant en termes de ressources que de budget, pour la grande majorité des entreprises soumises à cette exigence. À la date de rédaction de cet article, on estime qu’il faudrait entre 18 et 24 mois pour se conformer aux BCR ce qui, à mon avis, est bien trop long. Les entreprises ont besoin d’une solution immédiate. Dans l’ensemble, les CCT conviendront à la plupart des organisations. En attendant que la Commission européenne, en coordination avec toutes les autorités locales de protection des données, propose un meilleur cadre relatif aux CCT, celles-ci représentent l’option la plus sûre. J’ai envisagé la possibilité d’un "Privacy Shield 2.0", non sans une certaine hésitation et appréhension, sachant que nous avons déjà fait deux fois fausse route. Quoi qu’il en soit, tout ajout ou modification apportée pour combler les failles du passé donnera lieu à une sorte de CCT retravaillé. Y’a-t-il donc un quelconque intérêt à proposer un tel cadre ?

Le contexte international actuel du Covid-19 soulève sans aucun doute de nombreuses questions sur la manière dont les données ont été utilisées et où elles ont été transférées. Bien entendu, les dirigeants mondiaux mettent tout en œuvre pour endiguer la pandémie et je suis persuadé que le public fait et fera tout ce qu’il peut pour y contribuer. Mais les questions de confidentialité ne peuvent pas être simplement écartées. Il est indispensable de trouver un équilibre : les taux de contamination et de propagation du virus doivent être surveillés et traités tout en assurant cette protection, ô combien essentielle, autour des données personnelles parmi les plus sensibles. Allons-nous assister à une explosion des technologies de pseudonymisation ?