En annulant le Privacy Shield, la Cour de justice de l’Union européenne interdit la circulation des données à caractère personnel de l’Europe vers les Etats-Unis. Sauf si…
Quel avenir pour la protection de la vie privée face aux Gafam ou autres entreprises américaines? L’Europe aura-t-elle les moyens de cette ambition?
Olivier Iteanu, avocat au barreau de Paris est spécialisé sur le numérique depuis plus de 25 ans, a accepté de répondre aux questions de Place de l’IT.
Place de l’IT: Apparemment l’interdiction de transférer des données personnelles vers les Etats-Unis supporte pas mal d’exceptions… Comment tout cela a-t-il commencé?
Olivier Iteanu: Dès 1995, la Commission européenne a adopté la directive 95/46/CE posant le cadre légal du traitement des données à caractère personnel et de leur libre circulation dans la communauté européenne. Sous peine de cinq ans d’emprisonnement de 300 000 euros d’amende (sans oublier les sanctions supplémentaires de la part de la Cnil ou ses équivalents européens), il est interdit d’exporter ces données à caractère personnel hors des communautés européennes.
Bien entendu, il existe plusieurs exceptions à ce principe, rendant possible cette circulation d’un Etat membre vers un Etat tiers si ce dernier «offre un niveau de protection adéquat».
Première exception, certains Etats tiers sont qualifiés “d’Etats adéquats”, ce qui signifie qu’ils offrent un niveau de protection adéquat. En gros, aligné ou compatible avec le RGPD (voir notre article). Les Etats tiers adéquats sont l’Andorre, l’Argentine, le Canada, les Îles Féroé, Guernesey, Israël, le Japon, l’Île de Man, Jersey, la Nouvelle-Zélande, la Suisse et l’Uruguay.
Et qu’en est-il des Etats-Unis?
Les Etats-Unis représentent un cas particulier. En effet, il n’existe aucune loi fédérale américaine réglementant la collecte et le traitement des données à caractère personnel. Cependant, il est difficile de se passer de ce type d’accord avec les États-Unis. D’où cette deuxième exception.
En l’an 2000, la Commission européenne a Adopté une décision, baptisée Safe Harbor (Sphère de sécurité), autorisant le transfert de données à caractère personnel de l’Europe vers les États-Unis, car cet Etat présenterait des garanties suffisantes pour protéger la vie privée des résidents européens.
Selon cet accord, le Département du Commerce américain met en place un programme d’autorégulation auquel doivent adhérer les entreprises qui s’engagent alors à s’aligner sur la réglementation européenne.
Suite aux révélations du lanceur d’alerte Snowden [affirmant que les Etats-Unis utilisent ce type de données à des fins de surveillance et de renseignement], le militant autrichien pour la préservation de la vie privée Max Shrems dénonce cet accord auprès de Cour de Justice de l’Union européenne (CJUE) qui lui donne raison en annulant le Safe Harbor le 6 octobre 2015.
Le 12 juillet 2016, la Commission européenne adopte le Privacy Shield [bouclier de protection des données à caractère personnel], dont la différence avec le Safe Harbor est essentiellement “de nature esthétique”.
Quel était le problème majeur avec le Privacy Shield?
Avec cette réglementation, les données à caractère personnel d’un résident de l’Union européenne pouvaient être stockées sur des structures physiques aux États-Unis. Ainsi, Facebook a pleinement adhéré au Privacy Shield. Mais comment contrôler le respect des règles du RGPD par Facebook?
Les autorités américaines ont bien lancé quelques contrôles symboliques sur de petites entreprises quelques semaines avant que la CJUE n’annule la décision. Evidemment, cela n’a trompé personne.
De quel recours disposent précisément les résidents européens qui souhaitent accéder à leurs données personnelles, les modifier, demander leur suppression ou leur effacement?
Qu’à précisément décidé la Cour de justice de l’Union européenne (CJUE)? Et quelle est la situation actuelle?
La CJUE vient de trancher en décidant qu’un résident européen ne dispose d’aucun recours. La Commission européenne doit revoir sa copie.
Aujourd’hui, il n’existe plus aucun dispositif encadrant le transfert de données à caractère personnel des États-Unis. Donc: tout transfert de ces données en dehors de l’Union européenne est considéré comme illégal, sauf pour les pays adéquats, et ceux ayant signé des contrats intégrant les clauses types.
Que sont exactement ces clauses types, et en quoi engagent-elles les pays ou entreprises concernés?
Les clauses types sont une autre exception à l’interdiction d’exporter des données à caractère personnel hors de l’Union européenne. Elles ont pour objectif de permettre la mise en place de contrats le permettant pour les pays “non-adéquats”. Ils sont tenus de reprendre les clauses dans leur intégralité, à la virgule près, et donc de s’engager sur des mesures alignées aux RGPD.
Néanmoins, “le papier ne refuse pas l’encre”, et ce n’est pas la signature qui pose problème. En revanche, il en va autrement du niveau de contrainte et de l’équilibre des forces en cas de conflit entre une entreprise américaine et une entreprise européenne.
Justement, quels recours restent envisageables pour le résident européen?
Il peut porter plainte auprès du tribunal dont il dépend (en France par exemple), les marges de manœuvre restent limitées.
Certains estiment qu’il s’agit d’un nouveau coup d’épée dans l’eau. En effet, suite aux révélations de Snowden, les Américains avaient remaquillé leur Cloud Act au détriment encore plus accentué du citoyen européen.
Néanmoins, la Cour de justice de l’Union européenne a tout de même décidé d’annuler le Safe Harbor et le Privacy Shield.
De plus, la Cnil et ses homologues européennes disposent des moyens légaux pour faire respecter nos valeurs, voire pour durcir les mesures si nécessaire.
Aurons-nous le courage de taper du point sur la table pour faire respecter les droits des citoyens européens et imposer l’égalité des concurrences entre les entreprises européennes et américaines. En effet, les entreprises européennes sont assommées de contraintes par le RGPD, par exemple ‘contraint dans certains cas de désigner et rémunérer des DPO -Data Protection Officer ou Délégué à la protection des données) ou d’intégrer de multiples mesures réglementaires qui génèrent des coûts importants, quand leurs concurrents américains se sont limités jusqu’alors à des déclarations d’intention dans le cadre du programme Privacy Shield du département du commerce du Gouvernement des Etats-unis?
La CJUE a réaffirmé aux autorités américaines et même à la Commission européenne, que les promesses ne suffisaient plus. C’est le sens de cette décision de la CJUE!
Tags commission europeenne Cour de justice de l'Union européenne Max Shrems olivier iteanu Privacy Shield RGPD Safe Harbor Snowden
