La fin du Privacy Shield : sortons les entreprises de cet imbroglio juridique !

Données personnelles et transferts hors de l'Union européenne : quatre mois après l'arrêt Schrems 2 de la Cour de Justice de l'Union Européenne, les recommandations des CNILs européennes font craindre une impasse à défaut de remettre au centre du jeu le principe de proportionnalité.

Le constat est clair et constitue la clé de voute de la stratégie européenne pour les données dévoilée début 2020 par la Commission européenne : les données sont "vitales" pour le développement économique, elles constituent une "ressource essentielle" pour les entreprises de toutes tailles, de la start-up au groupe international. Ses entreprises exercent dans "un environnement connecté qui dépasse les frontières de l’UE". De sorte que les "flux internationaux de données sont indispensables à leur compétitivité". L’enjeu est net : les transferts de données sont moteurs de la compétitivité de nos économies. Un enjeu crucial pour le secteur européen du traitement de données bien sûr. Mais pas seulement. Mutation numérique oblige, l’enjeu est capital pour toutes les filières. Services financiers, e-commerce, santé, ressources humaines, publicité : aucun secteur ne peut se désintéresser du sujet.

L’acuité de cette vision – s’il en était besoin confirmée de manière abrupte par la crise sanitaire actuelle - tranche cependant avec un certain attentisme des CNILs européennes (CEPD) au regard de la situation d’insécurité juridique à laquelle des milliers d’entreprises doivent aujourd’hui faire face suite à la décision de la Cour européenne, en juillet dernier, d’invalider le Privacy Shield. Cet outil juridique avait vocation à encadrer leurs transferts de données transatlantique conformément aux exigences du RGPD.

Le bouleversement provoqué par l’arrêt de la Cour provoque une incertitude majeure pour l’économie européenne toute entière. Avec cette remise en cause globale des garanties juridiques requises pour assurer la légalité des transferts de données hors de l’Union européenne, les entreprises sont livrées à elles-mêmes alors que les éclaircissements des autorités de contrôle se font attendre : les premiers éléments publiés il y a quelques jours soulèvent toujours de très nombreuses questions quant à leur applicabilité, et font aujourd’hui l’objet d’une consultation publique. En effet, quelle que soit la nature de l’activité économique en cause, le type d’encadrement juridique choisi ou encore le pays de destination du transfert (États-Unis ou autre), il est désormais imposé aux entreprises de prouver que les pays de destination des transferts offrent une protection "substantiellement équivalente" aux standards européens. Reste à savoir comment ?

Au-delà des 5 000 entreprises américaines inscrites sur le registre du Privacy Shield, c’est l’ensemble de leurs partenaires commerciaux européens, fournisseurs ou clients qui pâtissent d’une situation qui, on peut le craindre, est susceptible de générer un désordre juridique grandissant. Déjà, on assiste à une multiplication des recours. Plusieurs grandes entreprises françaises comme Sephora, Decathlon ou Leroy Merlin sont visées par les plaintes en séries initiées par l’association NYOB. Autre témoignage de la confusion ambiante, le litige devant le Conseil d’État relatif au Health Data Hub. À cette occasion, la haute juridiction administrative a dû rappeler que la Cour européenne "n’a pas jugé que le droit européen de la protection des données interdirait de confier le traitement de données, sur le territoire de l’Union européenne, à une société américaine". 

La logique impulsée par la Cour européenne va-t-elle trop loin ? Après avoir d’abord relevé que la Commission européenne elle-même s’est cassée les dents à deux reprises concernant l’exercice d’évaluation du niveau de protection garanti par la législation des États-Unis (invalidation du Safe Harbor en 2015 puis du Privacy Shield en juillet 2020) et ensuite, que l’analyse juridique dorénavant requise des entreprises s’avère particulièrement complexe dès lors qu’elle porte in fine sur les réglementations régissant l’activité des services de renseignement, on est tenté de répondre positivement ! 

Les recommandations du CEPD soumises à une consultation expresse d’ici le 21 décembre confirment malheureusement cette décorrélation profonde entre théorie juridique et garantie effective des droits. À défaut de réintroduire la flexibilité requise par les principes de proportionnalité et d’analyse du risque qui sont au centre du paradigme RPGD, l’approche choisie ne manquera pas de conduire à une impasse. Pour s’en convaincre, il suffit de relever que, parmi les situations que le CEPD rejette purement et simplement, sans proposer de pistes de solution concrètes, apparaissent les scénarii d’usage comptant probablement parmi les plus communs au sein des entreprises : le recours à un fournisseur de services de cloud computing non cryptés ou le partage intragroupe de données à des fin commerciale dont, les traitements relatifs à la gestion des ressources humaines.

En pratique, les recommandations du CEPD conduisent à une règle simple. Elles reviennent à prohiber tout transfert vers un pays ne satisfaisant pas au test du niveau de protection équivalent – à savoir, la grande majorité des pays de destination des données puisqu’à ce jour, seuls 13 territoires en dehors de l’Union européenne ont été reconnus comme tels par la Commission européenne – dès lors que les données ne seraient pas cryptées ou pseudonymisées à telle point qu’elles en deviennent inexploitable par le destinataire.

Face à cette règle simple, la complexité demeure pour les entreprises. Le CEPD semble peut préoccupé par les aspects opérationnels et propose une solution qui tout simplement n’en est pas une. Il privilégie une approche purement technique et met au second plan les mesures contractuelles et organisationnelles. Il ne tient pas non plus compte du coût de mise en œuvre de ces mesures techniques pour les entreprises. Surtout, il semble illusoire de présenter le chiffrement des données comme la solution clé à l’imbroglio résultant de l’arrêt Schrems 2 dans un contexte où les initiatives législatives visant à organiser l’accès des autorités publiques aux données cryptés se multiplient. Cela n’a pas pu échapper au CEPD, cette tendance est illustrée par la proposition, le 6 novembre dernier, de la Présidence allemande du Conseil de l’Union européenne portant sur un projet de résolution dont l’objet est de permettre l'accès des autorités aux données cryptés.

En l’état, on peut craindre que de nombreuses entreprises, faisant le constat que les exigences de mise en conformité sont à tel point éloignées des réalités de leur fonctionnement et de leurs modèles économiques, soient incitées à rester dans une zone grise. La situation ne serait satisfaisante ni pour l’effectivité de droits garantis par le RGPD ni pour la sécurité juridique des acteurs économiques qui parfois placés dans des situations inextricables, seraient contraints à cette option. 

Espérons que la consultation ouverte jusqu’au 21 décembre aura permis aux les acteurs économiques et à leurs représentations professionnelles de se faire entendre pour demander la flexibilité qui permettra de rétablir au plus tôt un cadre juridique clair pour les flux internationaux de données.