Le Privacy Shield : un bouclier à toute épreuve ?

Sitôt adopté sitôt attaqué, le Privacy Shield, bouclier de protection des données personnelles, fait depuis octobre dernier l’objet de deux recours en annulation devant la Cour de Justice de l’Union européenne. Cette remise en question place de nombreuses sociétés dans une situation d’incertitude juridique.

Le  Privacy Shiel a pourtant le mérite de chercher à offrir un nouveau cadre légal simple aux transferts des données personnelles des citoyens européens vers les Etats-Unis, à la suite de l’invalidation du Safe Harbor en octobre 2015.

Le parcours du combattant

Le projet de texte du Privacy Shield a été initialement dévoilé en février 2016, après deux années et demie de négociations. A la suite de la publication d’un avis en demi-teinte du Groupe de l’Article 29 (groupe rassemblant les autorités de protection des données personnelles en Europe, « G29 ») en avril dernier, l’Union européenne et les Etats-Unis ont longuement travaillé à l’amélioration du projet initial afin d’aboutir à un texte répondant aux préoccupations des autorités européennes. Le Privacy Shield a alors été formellement adopté le 12 juillet 2016 par la Commission européenne qui a ainsi reconnu à ce dispositif un niveau de protection « essentiellement équivalent » aux exigences européennes.

Le nouveau mécanisme est cependant loin de faire l’unanimité auprès des associations de défense de la vie privée qui lui reprochent de comporter les mêmes lacunes que le Safe Harbor et notamment de ne pas protéger suffisamment les droits des citoyens européens face à l’ingérence des autorités publiques américaines. Trois organisations françaises (La Quadrature du Net, French Data Network et la Fédération FDN) ainsi qu’une organisation irlandaise (Digital Rights Ireland) ont lancé en octobre 2016 des procédures devant la justice européenne afin d’obtenir l’annulation de la décision par laquelle Bruxelles a adopté le Privacy Shield.

Il n’est d’ailleurs pas le seul outil de transfert des données à être torpillé puisque, rappelons-le, l’Autorité irlandaise de protection des données a introduit le 31 mai 2016 une procédure devant la Cour Suprême irlandaise aux fins de déterminer la légalité des transferts de données effectuées sous le régime des Clauses Contractuelles Types. Or, suite à l’invalidation du Safe Harbor et face aux incertitudes relatives à la validité du Privacy Shield, ces dernières sont devenues le principal mécanisme (avec les « BCR » utilisées au sein d'un même groupe de sociétés) utilisé pour transférer des données vers les Etats-Unis.

Si ces deux outils de transfert des données venaient à être invalidés, ce serait alors la grande majorité des transferts actuels de données vers les Etats-Unis qui deviendrait illicite.

Un bouclier multifacettes

Si le Privacy Shield ne présente pas encore toutes les garanties souhaitées, notamment concernant la collecte et l’exploitation des données personnelles par les pouvoirs publics américains, il apporte néanmoins aux citoyens européens une protection renforcée par rapport à l’ancien Safe Harbor, lui procurant a priori de meilleures chances de survie.

1-   Une transparence accrue des traitements de données

Les entreprises adhérant au Privacy Shield doivent fournir aux individus concernés, notamment via la publication d’une Politique de Confidentialité sur leur site web, un certain nombre d’informations relatives aux modalités de traitement de leurs données et à leurs droits. Le degré de transparence ainsi exigé est donc particulièrement élevé et supérieur à ce qu’exigeait le Safe Harbor.

2-   La possibilité de s’opposer (opt-out) au traitement des données pour une finalité sensiblement différente de la finalité initiale du traitement

Là où le Safe Harbor permettait à un individu de s’opposer au traitement de ses données pour une finalité incompatible avec celle de la collecte, le Privacy Shield va plus loin en imposant aux entreprises de laisser aux individus la faculté de s’opposer au traitement dès que la finalité est sensiblement différente à celle de la collecte sans pour autant être incompatible avec cette dernière.

3-   Des transferts de données mieux encadrés 

Le Privacy Shield vient également renforcer les garanties dont bénéficiaient déjà les individus avec le Safe Harbor en matière de transferts de données en imposant notamment que tout transfert de données à des tiers (i) repose sur des finalités spécifiques et limitées et (ii) soit encadré par un contrat (iii) garantissant notamment que le destinataire des données assure le même niveau de protection que celui garanti par les dispositions du Privacy Shield.

4-   Une durée de conservation des données limitée

Le Privacy Shield précise que les données personnelles des individus doivent être conservées pour une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. Le Safe Harbor n’imposait, pour sa part, aucune limitation de la période de rétention des données qui pouvaient, dès lors, être conservées indéfiniment.

5-   De nombreuses possibilités de recours ouverts aux citoyens européens

Les individus estimant que leurs données ont fait l’objet d’une utilisation abusive bénéficient en outre désormais de plusieurs mécanismes de règlement des litiges accessibles et abordables (plainte auprès de l’entreprise, plainte auprès de l’autorité nationale de protection des données, arbitrage). Il est important de préciser que la multiplicité des mécanismes proposés n’a pas vocation à « diluer »  les possibilités de recours mais au contraire à offrir plusieurs options à la personne concernée selon ses besoins, et ce afin de renforcer sa capacité d’action. Selon le mécanisme choisi, l’entreprise fautive pourra être sévèrement sanctionnée (amende, radiation de la liste du Privacy Shield, arrêt du traitement, etc.).

6-   Un mécanisme évolutif révisé annuellement

Contrairement aux révisions du Safe Harbor qui étaient prévues tous les 3 ans, la Commission européenne et le Département américain du commerce vont conjointement revoir le Privacy Shield chaque année. Les autorités américaines et européennes se sont d’ores et déjà accordées pour discuter notamment des problématiques relatives à l’accès aux données par les autorités américaines durant le premier réexamen.

7-   Un accès aux données par les autorités publiques et agences de renseignement américaines encadré

Bien que la collecte et l’accès massifs et indifférenciés aux données par les pouvoirs publics américains soient toujours possibles dans des cas très spécifiques, le gouvernement américain s’est engagé officiellement pour la première fois à limiter, encadrer et surveiller une telle collecte et un tel accès. Le Privacy Shield a également prévu la mise en place d’un médiateur chargé de répondre aux plaintes et aux demandes des individus. L’indépendance de ce dernier est cependant questionnée par les associations de défense de la vie privée.

De nombreuses batailles à livrer

Quelques mois avant que ne soient engagés les recours en annulation devant la Cour de Justice de l’Union européenne, le G29 avait déjà rendu publique une analyse de la décision de la Commission européenne qui faisait part de certaines préoccupations quant à la protection effective des données personnelles des individus. Le G29 avait cependant reconnu les améliorations significatives introduites par le Privacy Shield par rapport au Safe Harbor et n’avait donc pas remis en cause l’accord, se déclarant prêt à attendre son réexamen annuel en 2017 pour le faire évoluer. Le Privacy Shield n’en reste pas moins dans la ligne de mire des autorités de protection des données européennes ainsi que dans celle des défenseurs des libertés individuelles et, depuis peu, de la justice européenne.

La pérennité du Privacy Shield est ainsi menacée, de même que celle des Clauses Contractuelles Types, au risque de priver les sociétés de toute solution pérenne leur permettant d’exporter les données personnelles des citoyens européens vers les Etats-Unis.

Article rédigé par Florence Chafiol, Associé, et Stéphanie Lapeyre, Avocat