Après l’annulation de l’accord de sphère de sécurité (Safe Harbor) par la Cour de Justice de l’Union européenne en octobre 2015, l’Union européenne s’était elle-même fixée pour objectif de faire aboutir les négociations transatlantiques afin redonner une base juridique solide au transfert des données personnelles de l’UE vers les USA avant la date butoir du 31 janvier 2016. La Silicon Valley est confrontée à une épreuve de force : que se passera-t-il en cas d’échec de ces négociations ?
Une collecte jugée disproportionnée au regard des droits fondamentaux européens
Dans une décision remontant au 26 juillet 2010, la Commission européenne avait estimé que les États-Unis assuraient un niveau de protection adéquat des données à caractère personnel permettant ainsi leur transfert outre atlantique. Or, dans son arrêt Schrems du 6 octobre 2015, la CJUE a annulé cette décision au motif que la Commission européenne aurait dû apprécier si les États-Unis assuraient effectivement, par leur législation ou leurs engagements internationaux, « un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte ».
La Cour a estimé que les autorités publiques américaines pouvaient accéder de manière massive et indifférenciée aux données transférées via le Safe Harbor ce qui prive de protection juridique efficace les personnes concernées. En effet, les entreprises américaines sont tenues de se soumettre aux législations américaines d’ordre public et doivent écarter « sans limitation » l’application des clauses de l’accord européen qui leur seraient contraires.
C’est cette incompatibilité entre le niveau de protection requis par l’Union européenne et le droit américain qui a généré une collecte massive donc disproportionnée de données et ce depuis plusieurs années. La CNIL et le Groupe de travail « article 29 » avaient relevé ce risque dans un document de travail publié en décembre 2014 suite aux révélations d’Edward Snowden.
Restaurer la confiance des clients européens envers les entreprises américaines.
Le transfert transatlantique de données est donc dépourvu de fondement juridique depuis lors et les officiels, Penny Pritzker pour le Département du Commerce Américain et les représentants de l’Union recherchent une solution mutuellement acceptable qui passe par l’établissement d’« équivalences essentielles » afin d’obtenir une décision d’adéquation sur le niveau de protection des données personnelles offert par les USA. Concrètement, il s’agit de clarifier l’étendue de l’accès des agences nationales de sécurité américaines aux données et comment il affecte la vie privée et aussi de structurer un système permettant aux résidents européens de porter plainte aux USA pour violation de la vie privée. Des engagements ont été pris par la Commission Fédérale des Communications afin de répondre aux plaintes sur le fondement du Privacy Act (1974) et du Judicial Redress Act sur le point d’être adopté par le Congrès. Transparence, proportionnalité et mécanismes de contrôle sont au programme.
Si les sociétés américaines souhaitent regagner la confiance de leurs clients européens, elles devront faire preuve de clarté et de cohérence. En attendant, plus de 4 500 entreprises bataillent pour se mettre en conformité avec les exigences européennes qui s’affirment d’autant plus que le règlement général sur la protection des données est en passe d’être adopté. Fournisseurs de services de cloud, d’analyse des données, hébergeurs, réseaux sociaux dont les transferts de données reposaient sur le Safe Harbor doivent donc s’empresser de trouver des alternatives viables.
Les options disponibles en dehors du Safe Harbor
Le transfert de données à caractère personnel en dehors de l’Union européenne est toujours régi par la directive 95/46CE qui prévoit des mécanismes juridiques pouvant être utilisés par les entreprises souhaitant transférer des données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat. Il existe tout d’abord une série de dérogations à l’interdiction : consentement exprès de la personne, transfert nécessaire à l’exécution d’un contrat ou transfert nécessaire à la sauvegarde de l’intérêt vital de la personne concernée. En dehors de ces hypothèses, deux autres options sont encore envisageables.
Première option : les clauses contractuelles types. Elles concernent les relations entre responsables de traitement ou entre responsable de traitement et sous-traitants. Ces clauses doivent compenser de façon satisfaisante l’absence d’un niveau adéquat de protection en offrant des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants (art.25 et 26 de la directive).
Seconde option : les Binding Corporate Rules (BCR – règles d’entreprise contraignantes) qui sont utilisées pour les transferts intragroupes et qui définissent la politique de l’entreprise en la matière. Elles font l’objet d’une instruction par les autorités européennes de contrôle. Or, certaines d’entre elles ont adopté des positions d’une vigilance extrême comme l’Allemagne qui a interdit aux sociétés la conclusion de nouveaux contrats de transferts de données et l’utilisation de nouvelles BCR depuis octobre 2015.
La menace de procès coordonnés
Le 31 janvier tombant un dimanche, la fin effective des négociations tombera vraisemblablement après les 2-3 février, dates de la prochaine réunion du G29 ou Groupe de travail « article 29 » où les conséquences du jugement Schrems sont le premier point à l’ordre du jour. Ensuite, à défaut d’accord, le G29 a déjà fait savoir que les autorités nationales adopteront toute action nécessaire et appropriée y compris en justice et de façon coordonnée.
La Commissaire européenne à la Justice, la protection des consommateurs et l’équilibre des genres, Vĕra Jourová, a déclaré nécessaire d’avoir des garanties sur un contrôle judiciaire efficace des autorités de contrôle. Les autorités du Royaume-Uni et de l’Allemagne ont déjà fait savoir qu’elles intenteront toute action en justice qu’elles jugeront opportune dès le mois de février afin de défendre le respect des droits fondamentaux.