1. Par une décision du 6 octobre 2015 (aff. 362/14, S. c/ Data Protection Commissionner), la Cour de justice de l’Union européenne a conclu à l’invalidité de la décision « Safe Harbor » de la Commission européenne du 26 juillet 2000 permettant de transférer des données vers les Etats-Unis, dès lors que les sociétés récipiendaires adhéraient aux principes dudit accord (nos 2 s.).
Cet instrument juridique étant très largement utilisé, la Commission européenne et les Etats-Unis sont rapidement entrés en négociation afin de trouver un nouvel accord qui satisfasse aux exigences posées par la Cour de justice. Si un accord politique a été annoncé officiellement par la Commission européenne le 2 février 2016 sous le nom de «bouclier vie privée UE-Etats-Unis» (nos 8 s.), la question de l’appréhension des transferts de données à caractère personnel vers les Etats-Unis dans l’attente du texte définitif demeure (nos 5 s.).
Dans ce contexte, il est enfin intéressant d’analyser comment le futur règlement européen de protection des données à caractère personnel définit les critères devant être pris en compte par la Commission pour apprécier le caractère adéquat de la protection des données à caractère personnel d’un pays tiers à l’Union européenne (nos 11 s.).
L’annulation de la décision Safe Harbor
2. Conformément à l’article 25 de la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, le transfert vers un pays tiers à l’Union européenne de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si le pays tiers en question assure un niveau de protection adéquat.
L’article 25, 6° de cette directive donne pouvoir à la Commission européenne pour constater qu'un pays tiers assure un niveau de protection adéquat au sens de la directive, en raison de sa législation interne ou de ses engagements internationaux.
La décision « Safe Harbor » de la Commission du 26 juillet 2000 (Décision 2000/250/CE) permettait ainsi de procéder à des flux transfrontaliers de données entre l’Europe et les Etats-Unis, dès lors que les sociétés récipiendaires adhéraient à un certain nombre de principes négociés entre la Commission européenne et les Etats-Unis, par autocertification, auprès du Département du commerce américain.
3. Par l’arrêt précité du 6 octobre 2015, la Cour de justice de l’Union européenne a invalidé la décision Safe Harbor.
Cet arrêt fait suite à une plainte déposée, auprès de l’autorité de contrôle irlandaise, par un utilisateur de Facebook s’opposant au transfert de ses données vers les Etats-Unis à la suite des révélations faites en 2013 au sujet de l’accès aux données par les services de renseignement des Etats-Unis. Saisie d’un appel formé par cet utilisateur après le rejet de sa plainte par l’autorité de contrôle sur la base de la décision Safe Harbor, la High Court of Ireland a saisi la Cour de justice d’une question préjudicielle.
Dans le cadre de son examen de la validité de la décision Safe Harbor, la Cour de justice considère qu’une réglementation, telle que la réglementation des Etats-Unis, permettant une ingérence dans les droits fondamentaux des personnes dont les données à caractère personnel sont transférées, et ne prévoyant aucune possibilité pour le justiciable d’avoir accès aux données le concernant, n’assure pas un niveau de protection adéquat.
Après avoir constaté que la Commission, alors qu’elle était tenue de procéder à une telle vérification, n’a pas fait état dans sa décision du 26 juillet 2000 de ce que les Etats-Unis assurent un niveau de protection adéquat en raison de leur législation interne ou de leurs engagements internationaux, la Cour de justice a conclu à l’invalidité de la décision Safe Harbor.
4. L’invalidation a pour conséquence immédiate de rendre illicites tous les transferts de données à destination d’entités ayant adhéré au Safe Harbor. L’impact de cette décision est très important dans la mesure où un grand nombre d’entreprises fondaient le transfert de données à destination des Etats-Unis sur l’adhésion au Safe Harbor. A la date de la décision rendue par la Cour de justice de l’Union européenne, environ 5 500 entreprises américaines avaient adhéré au Safe Harbor. Autant d’entreprises qui se sont retrouvées, du jour au lendemain, dans l’illégalité.
La période transitoire
5. Dans l’attente qu’un éventuel nouvel accord soit négocié entre la Commission européenne et les autorités américaines, la question de la gestion de la période provisoire s’est posée.
6. Il doit tout d’abord être rappelé que l’article 26, 1° de la directive 95/46/CE précitée prévoit un certain nombre de cas dérogatoires dans lesquels un transfert de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection adéquat peut être effectué. Il en est notamment ainsi lorsque la personne concernée a consenti expressément au transfert de ses données personnelles ou lorsque le transfert s’avère nécessaire à l’exécution d’un contrat entre le responsable du traitement et l’intéressé, ou de mesures précontractuelles prises à la demande de celui-ci.
Toutefois, ces exceptions sont d’interprétation stricte. La Cnil et le G29 (groupe de travail rassemblant les représentants de chaque autorité nationale indépendante de protection des données) recommandent en particulier que des transferts répétitifs, massifs ou structurels de données personnelles, dont l’importance ou la régularité justifient qu’ils soient encadrés de manière précise, fassent l’objet d’un encadrement juridique spécifique et ne reposent donc pas sur ces dérogations.
7. C’est la raison pour laquelle le G29 a plutôt orienté les entreprises, dans un communiqué du 16 octobre 2015 traitant notamment de la période transitoire, vers les outils Binding Corporate Rules (BCR) et clauses contractuelles types (CCT). Les BCR constituent un code de conduite propre à un groupe d’entreprises, définissant la politique de celui-ci en matière de transferts de données. Les BCR permettent d'offrir une protection adéquate aux données transférées depuis l'Union européenne vers des pays tiers au sein d'un même groupe. Les CCT sont des modèles de contrats de transfert adoptés par la Commission européenne, encadrant les transferts de données personnelles entre deux responsables de traitement ou entre un responsable de traitement et un sous-traitant.
Mais au terme d’une analyse plus poussée des conséquences de la décision de la CJUE du 6 octobre 2015, le G29 a finalement conclu le 4 février 2016 que c’est en réalité « l’ensemble des procédures actuelles de transferts de données de l’Union européenne vers les Etats-Unis [qui] sont invalides », en ce compris donc les outils alternatifs que sont les BCR et les CCT. Aux termes du communiqué, « des préoccupations demeurent quant au cadre légal américain actuel, au regard des quatre garanties, notamment celles portant sur le périmètre d’accès aux données et les possibilités de recours».
Compte tenu de cette conclusion, la quasi-intégralité des transferts de données vers les Etats-Unis aurait dû être immédiatement suspendue. Mais une nouvelle fois, le G29 a dû faire preuve de pragmatisme, en décidant que, pendant la période d’analyse du nouvel accord (ci-après n° 8), les autres outils de transfert tels que les BCR ou les CCT peuvent continuer à être utilisés par les entreprises. En revanche, les transferts ne peuvent plus se faire sur la base de l’ancien accord Safe Harbor invalidé par la CJUE.
Le futur bouclier vie privée UE-Etats-Unis (« EU-US Privacy Shield »)
8. Le 2 février 2016, un communiqué de la Commission européenne a officialisé que celle-ci et les Etats-Unis s’étaient accordés sur un nouveau cadre pour les transferts transatlantiques de données à caractère personnel : le « bouclier vie privée UE-Etats-Unis » (« EU-US Privacy Shield »).
9. Selon les déclarations de la Commission européenne, le « bouclier » tiendrait compte des exigences énoncées par la Cour de justice de l'Union européenne dans son arrêt du 6 octobre 2015. Le contenu de l’accord n’est pas encore public et l’on doit se contenter à cette heure des déclarations de la Commission, qui met en exergue trois avancées.
En premier lieu, le nouveau dispositif mettrait à la charge des entreprises américaines traitant des données à caractère personnel européennes des obligations strictes quant au traitement de ces données et obligerait ces mêmes entreprises à garantir les droits des individus. Il serait en outre prévu que le ministère américain du commerce veille à ce que les entreprises publient leurs engagements, ce qui permettrait à la Federal Trade Commission (FTC) de contraindre lesdites entreprises à les respecter. Un sort particulier serait réservé aux données à caractère personnel européennes relatives aux ressources humaines, pour lesquelles les entreprises américaines devraient « s’engager à se conformer aux décisions des autorités européennes chargées de la protection des données ».
En deuxième lieu, le nouveau dispositif encadrerait strictement l’accès des autorités publiques américaines aux données européennes à caractère personnel, à des fins d’ordre public et de sécurité nationale. Des limites et des garanties seraient définies de sorte que l’accès aux données intervienne de façon proportionnée, uniquement dans la mesure où il est nécessaire. Afin de contrôler le fonctionnement de l’accord et le respect de ces engagements, un examen mené conjointement par la Commission européenne et le ministère américain du commerce aurait lieu tous les ans.
En troisième lieu, le nouveau dispositif ménagerait plusieurs voies de recours aux citoyens de l’Union européenne, en cas d’utilisation abusive des données à caractère personnel les concernant. Tout d’abord, les entreprises américaines auraient l’obligation de répondre aux plaintes émises, dans des délais définis. Par ailleurs, chacune des Cnil nationales pourrait directement transmettre des plaintes au ministère américain du commerce et à la FTC. Le nouveau dispositif prévoirait également que le recours aux mécanismes de règlement extrajudiciaire des litiges soit gratuit. S’agissant enfin plus spécifiquement des plaintes que pourraient susciter l’éventuel accès aux données par des services de renseignement américains, un nouveau médiateur serait nommé.
10. Il importe cependant d’attendre le texte définitif pour se prononcer. Le G29 a demandé à la Commission européenne de lui communiquer tous les documents relatifs au nouvel accord avant la fin du mois de février 2016 afin de l’examiner et d’évaluer s’il répond aux préoccupations soulevées par la décision de la Cour de justice de l'Union européenne. Sous réserve que le texte de l’accord lui soit effectivement transmis dans ce délai, le G29 annonce qu’il rendra son analyse au mois d’avril 2016.
Perspectives : le transfert des données vers des pays tiers dans la proposition de règlement européen
11. Dans le cadre du futur règlement européen de protection des données à caractère personnel (Proposition de règlement UE relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) du 25 janvier 2012 : COM(2012)11 final), dont l’adoption a été annoncée pour le printemps 2016 et qui s’appliquera deux ans après son entrée en vigueur, est reprise l’autorisation du transfert des données vers les pays tiers pour lesquels la Commission a adopté une décision constatant le caractère adéquat du niveau de protection.
Le futur règlement est plus précis sur les éléments devant être pris en compte par la Commission pour apprécier le caractère adéquat de la protection (art. 41 du projet dans sa rédaction dans le cadre du texte de compromis, traduit par nos soins) :
« la primauté du droit, le respect des droits de l’Homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, notamment en ce qui concerne la sécurité publique, la défense, la sûreté de l’Etat et le droit pénal et l’accès des autorités publiques aux données à caractère personnel, ainsi que la mise en œuvre de la présente législation, les règles de protection des données, les règles professionnelles et les mesures de sécurité, et notamment les règles relatives au transfert des données à caractère personnel vers un pays ou une organisation internationale tiers, qui sont respectées dans le pays en question ou par l'organisation internationale en question, les précédents jurisprudentiels, ainsi que l'existence de droits effectifs et opposables des personnes concernées, et d’un droit de recours administratif et judiciaire effectif des personnes dont les données à caractère personnel sont transférées ;
« l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers ou auxquelles l'organisation internationale est soumise, chargée de garantir et faire respecter les règles en matière de protection des données, y compris à l’aide de pouvoirs de sanction adéquats, d’assister et conseiller la personne concernée dans l'exercice de ses droits, et de coopérer avec les autorités de contrôle des Etats membres ;
« les engagements internationaux souscrits par le pays tiers ou l'organisation internationale concerné, ou toutes autres obligations souscrites en application de conventions ou d'instruments juridiquement contraignants, ou de sa participation dans les systèmes multilatéraux ou régionaux, notamment en matière de protection des données à caractère personnel. »
Certains de ces critères, qui n’étaient pas présents dans la proposition de règlement initiale, ont été introduits dans la version définitive du texte après la décision de la Cour de justice du 6 octobre 2015.
12. En l’absence de décision de la Commission, les transferts de données à caractère personnel vers un pays tiers ne pourraient avoir lieu que si le responsable de traitement a apporté des garanties appropriées, et à condition que les droits des personnes concernées soient effectifs et que des voies de recours effectives soient offertes aux personnes concernées (art. 42, 1° du projet).
Il est précisé que les garanties appropriées sont notamment fournies, sans qu’il y ait d’autorisation à obtenir auprès d’une autorité de contrôle, par un instrument juridique contraignant conclu entre des autorités ou organismes publiques, des règles d’entreprises contraignantes répondant à certaines conditions définies dans le règlement, des clauses types de protection des données adoptées par la Commission ou par une autorité de contrôle et approuvées par la Commission, un code de conduite ou un mécanisme de certification approuvés à la condition que le récipiendaire des données s’engage à apporter des garanties appropriées, notamment eu égard aux droits des personnes concernées (art. 42, 2° du projet).
Lucie Corvisier est avocat spécialisé en propriété intellectuelle au sein du cabinet Osmose. Elle publie régulièrement des articles liés à l’actualité.
Auteur de plusieurs publications en droit des nouvelles technologies, Alexis Vichnievsky est avocat associé au sein du cabinet Osmose et chargé d'enseignement à HEC.