C’est un véritable coup de tonnerre mondial qui a retentit ce jeudi 16 juillet 2020 : La Cour de Justice de l’Union Européenne a annulé le « Privacy Shield 1 » , dispositif par lequel les entreprises européennes peuvent exporter leurs données personnelles vers les Etats-Unis en plein respect du Règlement Général de Protection des Données (RGPD).
Du côté américain de l’Atlantique, ce sont toutes les entreprises du digital qui voient leurs positions se fragiliser sur le second marché mondial qu’est l’Europe.
Du côté européen, les avis sont plus contrastés et reprennent les fractures habituelles concernant la protection des données personnelles. Les défenseurs de la vie privée y voient un coup de semonce asséné aux Etats-Unis, pays de la NSA et autres agences gouvernementales aux super pouvoirs. Les startups européennes et les tenants de la souveraineté numérique identifient des voies dans lesquelles s’immiscer pour prendre des parts de marché. Moins satisfaite, la majorité des entreprises européennes se retrouve perdue sur les actions à entreprendre pour rester dans la légalité. L’enjeu est d’importance : le transfert transatlantique de données personnelles assis sur le seul et désormais feu Privacy Shield peut être sanctionné à hauteur de 4% de leur chiffre d’affaires annuel. En France, le Code pénal 2 sanctionne un transfert de données personnelles hors Union européenne et sans garantie de protection par 5 ans d’emprisonnement et 300 000 euros d’amende.
Au sein de DiliTrust, nous accueillons avec satisfaction cette décision. Elle renforce si besoin était, l’engagement qui a toujours été le nôtre en matière de souveraineté numérique. Elle confirme le caractère risqué du transfert des données vers les US.
Privacy Shield, un dispositif couvrant exclusivement les données personnelles
Les entreprises disposent d’un nombre croissant de données. Dès lors qu’on évoque le sujet du Privacy Shield, il doit être bien compris que seules les données personnelles font l’objet de cette restriction de transfert. Par « donnée personnelle » est entendue toute donnée permettant d’identifier directement (Ex : nom, prénom) ou indirectement (Ex : un numéro d’identification ou un ensemble d’informations qui regroupées permettent d’identifier une personne).
Ainsi, peut-être une donnée personnelle toute information se rapportant à un salarié dans un contrat (Ex : contrat de travail comportant sa position, son métier, sa rémunération …), mais également certaines informations contenues dans des comptes-rendus de réunion (conseils d’administration, comités).
Néanmoins, certaines informations légales, notamment celles au sein des registres des greffes des tribunaux de commerce, ne sont pas considérées comme des données personnelles. Même si leur diffusion est encadrée, elles échappent en grande partie aux dispositions du RGPD et sont soumises au Code des relations entre le public et l’administration 3.
Privacy Shield, un dispositif d’auto-certification
Le Privacy Shield était en place depuis le 1er Août 2016, date à laquelle l’Union Européenne a reconnu ce dispositif comme conforme à la Directive Européenne de Protection des Données Personnelles (Directive remplacée depuis par le RGPD).
Le Privacy Shield (Bouclier de Protection des Données) était un dispositif par lequel les entreprises installées aux Etats-Unis pouvaient s’auto-certifier auprès de la Commission Fédérale du Commerce, Federal Trade Commission en anglais (FTC). Pour cela, les entreprises américaines devaient s’engager à un certain nombre de mesures de protection des données de telle façon que les données personnelles issues d’Europe bénéficieraient d’un niveau de protection suffisant. Cette certification devait être renouvelée tous les ans et couvrait les données personnelles RH et/ou non RH.
Toute entreprise européenne pouvait alors transférer en toute légalité des données personnelles vers l’un des 5 500 signataires du Privacy Shield. Parmi ces signataires, figurent toutes les stars de la Silicon Valley (Google, Hubspot, Dropbox, …) et les prétendantes à ce statut. Ne figuraient pas en revanche des acteurs comme les banques, les assureurs, les fournisseurs de solution télécom car exclus du dispositif (Ces derniers ne sont pas soumis à l’autorité du FTC).
Les Etats-Unis avaient alors apporté de nombreuses garanties à la Commission sur le « sérieux » du dispositif. Ils s’étaient engagés sur un contrôle réel des entreprises signataires et le prononcé de sanctions en cas de non-respect de leurs engagements. De plus, un citoyen européen pouvait saisir son autorité nationale de protection des données en cas de non-respect des engagements par une entreprise signataire. Était mis le cas échéant en place un dispositif de coopération entre ces autorités locales européennes et le FTC. Enfin, les données personnelles ne seraient accessibles par les administrations fédérales que pour des raisons tenant à la « Sécurité Nationale ». Ce dernier point est, nous le verrons, important.
Privacy Shield, un dispositif contesté
Un dispositif similaire, appelé « Safe Harbor », avait fonctionné à compter de 2000 avant d’être annulé par la Cour de Justice de l’Union Européenne (CJUE) en 2015 pour des motifs et dans un contexte très similaires à la décision récente. En effet, comme nous allons le voir, nous sommes dans l’application de l’adage déterministe selon lequel « les mêmes causes produisent les mêmes effets ».
En 2015, sous l’empire de la Directive de Protection des Données Personnelles de 1995, l’avocat autrichien Maximilian Schrem avait demandé à la « CNIL » irlandaise (le DPC, « Data Protection Commisionner ») de condamner Facebook pour le transfert de ses données personnelles vers les serveurs situés aux Etats-Unis. Pour appuyer cette demande, l’activiste avait invoqué l’absence de législation protectrice des données et l’existence de pratiques de surveillance de masse plus ou moins encadrées. Le DPC n’avait pas répondu favorablement à cette demande au motif que Facebook était signataire du Safe Harbor. La Haute Cour irlandaise avait été alors saisie par Maximilian Schrem pour invalider cette décision. La juridiction irlandaise avait alors saisie à son tour la Cour de Justice de l’Union Européenne afin d’avoir son avis sur ce point de droit – Mécanisme de « Question préjudicielle ». Dans sa décision, la CJUE avait invalidé le Safe Harbor 4 comme garantie suffisante pour rendre conforme au droit communautaire le transfert de données personnelles vers les Etats-Unis.
Cinq ans plus tard, Maximilian Schrem réalise la même demande auprès du DPC qui atterrit à nouveau à la CJUE. Entre temps, la Directive a disparu au profit du RGPD. Mais le Règlement est assez aligné avec la Directive sur le sujet des transferts de données hors Union Européenne. Par ailleurs, le Safe Harbor a été remplacé en 2016 par le Privacy Shield. Enfin, Facebook a complété sa certification Privacy Shield par des Clauses Contractuelles Types que nous verrons ultérieurement. En dépit de ces changements de texte et de dispositif, la CJUE invalide le Privacy Shield en pointant clairement du doigt les lois de surveillance des Etats-Unis : “les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers […], ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.” (Extrait du communiqué de presse 5 ).
Les défenseurs du respect à la vie privée ont eu plaisir à voir que la CJUE n’a pas eu la main qui tremble pour signer cet arrêt de mort. C’est normal : il s’agit d’un organisme judiciaire dont la mission est de juger en droit indépendamment des enjeux économiques et politiques. Il en aura été autrement pour la Commission Européenne durant ces quatre dernières années. Dès sa naissance, le Privacy Shield a fait l’objet de nombreuses critiques, à commencer par l’organisme regroupant les autorités nationales de protection des données telles que la CNIL: le Comité Européen de la Protection des Données (CEPD). Ainsi dans son second rapport 6 sur le Privacy Shield, le CEPD condamnait le contrôle superficiel du FTC américain et les dispositifs de surveillance de masse. Le Parlement européen a pour sa part montré son hostilité constante au texte. Celle-ci s’est renforcée en 2018 quand les Etats-Unis ont promulgué le Cloud Act étendant les opportunités de surveillance des autorités publiques. Dans les couloirs de la Commission, se chuchotait le regret d’avoir sous-estimé le nombre d’administrations ayant un accès aux données (DEA, police, autorités boursières, agences antiterroristes, agences de surveillance … allant jusqu’au Sheriff …). Chaque rapport annuel de la Commission laissait néanmoins percevoir une frustration quant à la bonne volonté des Etats-Unis. Mais, il lui aurait été difficile de faire marche arrière sans se désavouer, ni risquer de provoquer des mesures de rétorsion de l’Administration Trump. Maxime Shrems résumait très bien la situation dès 2016 : « Le Privacy Shield est le produit de la pression des États-Unis et de l’industrie des technologies, non le fruit d’une démarche rationnelle ou de considérations raisonnables ».
Transferts de données vers les US : Les quatre options restantes
A présent que les entreprises européennes ne peuvent plus se reposer sur le Privacy Shield, que peuvent-elles faire si elles souhaitent continuer à travailler avec leurs prestataires américains ?
D’abord, rappelons qu’un transfert hors UE de données personnelles nécessaire à l’exécution d’un contrat reste conforme au RGPD. Imaginiez par exemple que vous organisiez un séminaire d’entreprise aux Etats-Unis. Pour cela, vous avez besoin de communiquer la liste de vos salariés aux acteurs touristiques locaux (hôtels, transports, etc.) Le transfert des données personnelles de vos salariés est dans ce cas licite car « nécessaire » au contrat. Néanmoins, assurez-vous de prévoir dans ledit contrat la protection des données par votre sous-traitant. Qu’il soit européen ou non, c’est une obligation générale du RGPD !
Par ailleurs, la solution peut être technique. Vous pouvez demander à vos prestataires d’héberger vos données en Europe. Tous les plus grands acteurs US proposent déjà cette option, telles que Google, Microsoft, AWS… Mais, il est vrai que dans certains cas cette migration peut comporter un coût important et perturber les roadmaps techniques. De plus, une attention toute particulière doit être portée sur le point suivant : vous devez avoir la garantie qu’aucun salarié ou sous-traitant de votre entreprise prestataire n’accède aux données personnelles depuis les Etats-Unis. En effet, est considéré comme un transfert de données hors UE le simple fait de rendre accessible les données depuis un pays hors Union Européenne. Cette situation est fréquente dans le cas d’une société ayant recours à un call center offshore, chaque employé se connectant sur les outils du client hébergés en Europe.
Enfin, et surtout, la CJUE a rappelé qu’il était possible de « contractualiser » la protection des données avec un partenaire américain. Dans sa décision, elle a rappelé la validité du recours aux « Clauses Contractuelles Type » (désignées souvent par l’acronyme « CCT »). Les CCT sont des clauses rédigées par la Commission européenne (Voir décision de la Commission 2010/87 du 5 février 2010 7 ). Elles comportent tout un ensemble d’obligations de protection des données personnelles similaires à celles énoncées dans le RGPD. Vérifier l’existence de ces CCT dans vos contrats est donc l’action concrète à mettre en place dès aujourd’hui ! Les GAFAM et autres acteurs américains de premier plan ont bien avant la décision de la CJUE inséré ces CCT dans la plupart de leurs contrats. Gageons que les sociétés américaines de moins grande ampleur reviennent vers leurs clients européens avec des avenants au contrat. Néanmoins, assurez-vous que les CCT proposées soient les bonnes. En effet, il y a deux catégories de CCT : celles pour des transferts de données entre deux responsables de traitement et celles pour les transferts entre un responsable de traitement et un sous-traitant. Enfin, pour être licites, ces clauses doivent être insérées au contrat de façon intégrale et sans aucune modification (mode « copier-coller »).
Les juristes et DPO les plus affûtés sont néanmoins perplexes sur la logique de la CJUE pour invalider le Privacy Shield d’un côté et valider les CCT de l’autre. Dans sa décision, elle justifie la validité des CCT par le fait que ces dernières obligent l’« exportateur » européen de données et l’« importateur » américain de vérifier, au préalable, le niveau de protection des données du pays tiers concerné. A défaut d’une législation protectrice, l’importateur doit informer « l’exportateur des données de son éventuelle incapacité de se conformer aux clauses types de protection, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu avec le premier ». Difficile de croire qu’après avoir reconnu le droit américain comme insuffisamment protecteur, la CJUE laisse la libre appréciation du sujet aux entreprises … On constate donc que l’incertitude juridique demeure même en ayant recours aux CCT. La solution de simplicité reste de privilégier une collaboration avec des acteurs européens. C’est ainsi que DiliTrust a pris le part d’héberger les données clients en France pour leur assurer une meilleure confidentialité.
Pour conclure, les autorités de contrôle de chaque Etat Membre vont prochainement se réunir pour préciser les guidelines afin de s’adapter à la nouvelle configuration. Seront attendus des éclaircissements sur les délais accordés aux entreprises pour passer aux CCT ainsi que les modalités de recours à ces dernières. Enfin, en dehors de la dimension juridique et des implications techniques, cette décision nous apparaît comme une opportunité pour les entreprises européennes de s’interroger sur la part qu’elles souhaitent jouer dans un défi tout aussi important que celui de la protection des données : la souveraineté numérique européenne. Certaines entreprises européennes avec leurs DSI privilégient le niveau technologique par rapport à la souveraineté. Nous espérons qu’avec cette initiative elles prennent conscience de l’importance d’un hébergement local et emboîtent le pas de nombreuses sociétés du CAC 40 qui ont d’ores et déjà opté pour des solutions souveraines.
Cas d’usage
La fin du Privacy Shield met en avant le risque que représente le transfert de données, qu’elles soient personnelles ou non, vers les Etats-Unis et plaide pour un hébergement en Europe. Cela implique plusieurs actions qui doivent être mises en place au plus vite par les entreprises européennes. DiliTrust peut vous fournir l’expertise et des solutions sécurisées conformes pour vous aider dans ce processus.
- Identifier les transferts de données réalisées avec les Etats-Unis
- Parmi ces transferts, identifier ceux qui reposent sur le Privacy Shield
- Classifier les types de transfert : entre deux responsables de traitement, entre un responsable de traitement et un sous-traitant afin de déterminer la clause contractuelle type à appliquer
- Travailler sur les clauses contractuelles types
- Travailler sur les règles d’entreprise contraignantes ou Binding Corporate Rules (BCR) (art 47 du GDPR) pour les groupes internationaux
- Classifier les données sensibles des instances de gouvernance
- Sécuriser les données sensibles des conseils d’administration et comités
- Protéger l’accès aux décisions stratégiques des entreprises européennes, processus M&A, brevets et procédés, etc.
- Faciliter le travail de demain pour les membres d’instances de gouvernance et les équipes juridiques
