Fin du Privacy Shield : quelles conséquences pour les entreprises ?

La Cour de Justice européenne a annulé l’accord qui encadrait le partage de données entre l’Europe et les États-Unis, créant une incertitude, mais envoyant aussi un message fort aux GAFAM. Reste la question des clauses contractuelles types (SCC).

La plus haute juridiction européenne a annulé, ce vendredi, le Privacy Shield. L’accord entre les États-Unis et l’Europe instaurait jusqu’ici une base juridique qui permettait à plus d’un demi-million d’entreprises américaines d’échanger des données avec l’Europe.

La Cour européenne de Justice (CEJ) a estimé que le Privacy Shield ne garantissait pas aux Européens un droit de recours adéquat, notamment lorsque leurs données sont transmises à la NSA et à d’autres services de renseignement américains, explique le jugement de 63 pages.

La Cour a par ailleurs confirmé la validité d’un autre mécanisme juridique : les clauses contractuelles types (ou SCC pour Standard Contractual Clauses). Ces clauses permettent aux entreprises européennes de partager légalement des données en dehors du Vieux Continent (les États-Unis et d’autres pays). Mais la décision émet de fortes réserves quant à leur utilisation future.

La décision obligera par ailleurs les responsables de l’Union européenne et les États-Unis à retourner à la table des négociations pour rédiger une nouvelle version du Privacy Shield qui renforce, cette fois, les droits des citoyens européens en matière de respect de la vie privée vis-à-vis des lois américaines (Patriot Act, CLOUD Act, Umbrella Act, FISA).

Le secrétaire américain du commerce, Wilbur Ross, a sans surprise déclaré que son ministère « regrettait profondément » la décision d’abolir le Privacy Shield.

« Nous avons toujours été et nous resterons en contact étroit avec la Commission européenne et le Comité européen de la protection des données (European Data Protection Board) sur cette question ; et nous espérons pouvoir limiter les conséquences négatives sur la relation économique transatlantique qui se chiffre à 7 100 milliards de dollars et qui est si vitale pour nos citoyens, nos entreprises et nos gouvernements respectifs », a-t-il ajouté.

« La Cour de Justice Européenne a annulé le Privacy Shield au motif que les organismes de surveillance américains font à peu près ce qu'ils veulent, sans avoir à se justifier ni à respecter les droits des individus. »
Servane AugierOutscale

Les entreprises qui s’appuyaient sur le « Privacy Shield » dans leurs activités internationales vont en tout cas être confrontées à une période d’incertitude, le temps que d’autres mécanismes juridiques de transferts de données soient clarifiés.

Ce rendu est la conclusion d’une bataille juridique de sept années, menée par l’avocat et activiste autrichien Max Schrems contre Facebook Ireland, sur la question de la légalité des transferts de données personnelles des utilisateurs européens du réseau social vers les États-Unis.

« La Cour a clarifié, pour la deuxième fois, qu’il y a bien un conflit entre la législation européenne sur la vie privée et la législation américaine sur la surveillance [et la sécurité nationale] », se félicite Max Schrems. « Comme l’UE ne modifiera pas ses droits fondamentaux pour plaire à la NSA, la seule façon de résoudre ce conflit est que les États-Unis donnent des droits plus solides en matière de protection de la vie privée à tout le monde – y compris aux étrangers. La réforme de la surveillance va donc être cruciale pour les intérêts économiques de la Silicon Valley ».

Privacy Shield : un bouclier qui ne protégeait pas

Cette décision n’est pas une première. C’est la deuxième fois en effet que la Cour européenne annule un accord de partage de données entre l’Union européenne et les États-Unis.

Tout comme pour le Safe Harbour (annulé en 2015), la Cour a estimé que le Privacy Shield donnait la primauté à la sécurité nationale américaine et aux services de renseignements des États-Unis sur les droits des citoyens européens.

Le Privacy Shield a « toléré » voire cautionné (en VO : « condoned ») des interférences, constatent les juges.

La Cour a au final estimé que les lois américaines sur la surveillance impliquaient que les États-Unis n’offraient pas une protection de la vie privée équivalente à celle prévue par le droit européen.

Les SCC restent valables... si le système juridique du pays qui reçoit les données le permet.

En particulier, la Cour souligne que la législation américaine ne donne pas de manière effective le moyen aux citoyens européens d’obtenir réparation devant les tribunaux en cas d’utilisation abusive de leurs données.

Se faisant, elle désavoue la Commission qui, elle, estimait que le Médiateur (Ombudsperson) créé dans le cadre de Privacy Shield était une voie de recours pour les citoyens de l’Union.

Au contraire, la Cour constate que ce Médiateur « n’offre pas de garanties substantiellement équivalentes à celles exigées par le droit communautaire ». Pour elle, il n’est pas même dit qu’il soit indépendant ou qu’il ait le pouvoir de prendre des décisions contraignantes à l’encontre des services de renseignement américains.

Les SCC OK… mais avec un gros « Mais »

La Cour rappelle aussi au passage que le droit communautaire – et en particulier le RGPD – s’applique lorsque des entreprises transfèrent des données vers des pays extérieurs à l’Union européenne, même si (voire « surtout si ») ces données sont traitées par des gouvernements tiers au motif de sécurité nationale ou de défense.

Tout Européen, dit-elle, doit pouvoir bénéficier d’une « protection substantiellement équivalente » (« essentially equivalent ») lorsque ses données sont transférées aux États-Unis (ou dans d’autres pays) à celle que lui confèrent le RGPD et la Charte des droits fondamentaux de l’Union européenne (Charter of Fundamental Rights of the European Union) – qui garantit le droit à des communications privées et la protection de leurs données privées.

Ce point va grandement conditionner les clauses contractuelles types (Standard Contractual Clauses, SCC).

Tout Européen doit bénéficier d'une « protection substentiellement équivalente » à celle du droit européen. Les entreprises devront s’en assurer.

Bien que la Cour ait estimé que les SCC étaient juridiquement valables, elle impose en effet que tout accord de transfert de données – y comprise via ces clauses – tienne compte du système juridique du pays qui reçoit les données, et de la manière dont les gouvernements et les autorités publiques de ces pays peuvent accéder aux données des citoyens de l’Union.

Selon la Business Software Alliance (BSA), les SCC sont utilisés pour transférer des données vers quelque 180 pays, comme l’Australie, Singapour, la Corée du Sud, le Brésil, l’Inde et le Mexique. Certains de ces cas pourraient devenir problématiques (lire ci-après).

La cour a statué que les entreprises avaient la responsabilité de s’assurer que les sociétés en dehors de l’Union, avec lesquelles elles prévoient de partager des données, bénéficient bien d’une protection de la vie privée équivalente à la législation européenne.

L’entreprise réceptrice a également obligation d’informer l’exportateur de données de toute incapacité à se conformer aux exigences de la clause. L’entreprise exportatrice est alors obligée de suspendre les transferts de données si les lois européennes sur la vie privée sont violées.

Les CNIL en première ligne

La Cour a également et clairement indiqué qu’il était de la responsabilité des autorités de protection des données (les ADP) des pays membres de l’Union d’agir si des entreprises tentaient de transférer des données vers des pays tiers qui ne respectent pas les garanties européennes en matière de protection de la vie privée, ou si ces entreprises n’arrivent pas à suspendre elles-mêmes les transferts et que la protection des données ne peut être assurée d’aucune autre manière.

« Les entreprises ne peuvent plus valider [des transferts de données] d’un simple trait de plume sur un contrat. Les risques associés à ces transferts doivent être dûment évalués. »
Me Van OverstraetenLinklaters

Les ADP – dont en France la CNIL – seront « tenues de suspendre ou d’interdire un transfert de données personnelles vers un pays tiers » lorsqu’elles estiment que ce pays ne peut pas se conformer aux clauses standard de protection des données.

Pour Tanguy Van Overstraeten, associé et responsable mondial des questions de protection de la vie privée et des données au sein d’un des plus grands cabinets d’avocats d’affaires international, Linklaters, cette décision aura un réel impact sur les grandes entreprises qui effectuent des milliers de transferts de données par le biais de clauses contractuelles types.

« Les grands groupes ont des réseaux complexes de transferts de données vers des centaines, voire des milliers, de destinataires à l’étranger. La Cour a clairement indiqué que les entreprises ne peuvent plus les valider d’un simple trait de plume sur un contrat. Désormais, les risques associés à ces transferts doivent être dûment évalués », prévient-il.

Me Van Overstraeten en déduit qu’il sera plus difficile de transférer des données vers des pays aux politiques de surveillance « forte », comme les États-Unis, l’Inde ou la Chine.

« Les entreprises vont à présent regarder du côté des autorités européennes, pour que celles-ci leur proposent une forme de transition, leur permettant de s’affranchir du Privacy Shield sans non plus courir le risque de sanctions importantes ou de demandes de compensations au civil », conclut-il

Des lobbyistes alarmistes

La Business Software Alliance – l’une des parties dans l’affaire – a accueilli la décision plutôt fraîchement. L’association fondée par Microsoft qui regroupe plusieurs géants de l’informatique mondiale (Intel, Oracle, Adobe, etc.) estime que la fin du Privacy Shield va créer une barrière dommageable pour le commerce électronique entre les États-Unis et l’Europe.

« Cette décision sur le Privacy Shield ôte l’un des rares moyens, et aussi le plus fiable, de transférer des données d’un côté à l’autre de l’Atlantique », regrette Thomas Boué, directeur général des politiques EMEA de la BSA, également ancien responsable des activités de lobbying auprès des institutions européennes de la CCI de Paris, et aujourd’hui en charge de « promouvoir des marchés ouverts [et] une concurrence loyale » (sic) depuis le siège bruxellois de la BSA - qui reste à très forte coloration américaine.

« Les impacts seront ressentis par les grandes et les petites entreprises des deux côtés de l’Atlantique, et cela alors que ces acteurs économiques tentent de récupérer des conséquences économiques du Covid-19 et qu’ils s’appuient de plus en plus sur des outils et des services reposant sur les données, pour y parvenir », avance-t-il.

Pour Max Schrems, les flux de données « nécessaires » peuvent se poursuivre légalement en vertu de l'article 49 du RGPD.

Renzo Marchini, associé du cabinet européen d’avocats Fieldfisher, considère, lui, qu’il est toujours possible de continuer à recourir aux SCC ; mais avec « un grand mais ». Comment les entreprises pourront-elles prouver que les pays dans lesquels elles transfèrent des données offrent bien une protection « substantiellement équivalente » ?

« Comment les sociétés européennes – notamment les plus petites – sont-elles censées s’y prendre ? », questionne-t-il « Il est urgent que les régulateurs nous fournissent des lignes directrices claires. Aucune entreprise, à l’exception des plus grandes, ne peut faire ce type d’évaluation ».

Avec l’invalidation de Privacy Shield par la Cour, il est hautement improbable que les régulateurs autorisent les transferts de données vers les États-Unis via ces clauses types, ajoute Me Marchini.

Pour Caitlin Fennessy, directrice de recherche à l’International Association of Privacy Professionals, la décision aura un impact indubitable pour les entreprises américaines qui partagent des données avec les États-Unis.

« La décision […] mettra sans aucun doute des dizaines de milliers d’entreprises américaines dans l’embarras […] pour mener leurs activités transatlantiques, qui représentent une valeur de plusieurs centaines de milliards de dollars par an », constate-t-elle, sans pour autant commenter ouvertement le fond de la décision.

Pour Max Schrems – l’avocat et activiste autrichien à l’origine de l’affaire –, les lobbys de l’industrie IT exagéreraient volontairement l’impact économique de la décision, car en pratique, dit-il, les flux de données « nécessaires » peuvent se poursuivre légalement en vertu de l’article 49 du RGPD.

« C’est [N.D.R. : l’article 49] une base solide pour la plupart des transactions juridiques avec les États-Unis. En d’autres termes, les États-Unis ont juste été ramenés à une situation “normale” », avance-t-il.

Relocalisation en Europe ?

Les flux de données entre les États-Unis et l’UE ne vont pas se tarir d’un coup. Il est probable que la Commission européenne accordera un délai aux entreprises concernées pour prendre de nouvelles dispositions.

Beaucoup d’entre elles passeront aux clauses contractuelles types. La Commission européenne est d’ailleurs en train de réviser ces SCC pour tenir compte du RGPD et a confirmé qu’elle les modifierait suite à la décision de la Cour européenne.

La vice-présidente de la Commission désavouée par la Cour de Justice, Mme Věra Jourová, a d’ores et déjà promis lors d’une conférence de presse que l’institution travaillerait avec ses homologues américains pour trouver une réponse pérenne.

« Ce que nous voyons ressemble étrangement à une guerre économique autour de la protection de la vie privée. »
Me Jonathan KewleyClifford Chance

Jonathan Kewley, co-responsable de la technologie au sein du cabinet britannique d’avocats Clifford Chance, pense pour sa part que certaines entreprises vont probablement réagir d’une autre manière : en localisant (ou relocalisant) leurs données en Europe.

« Ce que nous voyons ressemble étrangement à une guerre économique autour de la protection de la vie privée ; une guerre où l’Europe dit que l’on peut faire confiance à ses normes en matière de données, mais que l’on ne peut pas faire confiance à celles des États-Unis », résume-t-il. Un juste retour des choses diront certains. « Nous prévoyons qu’un des résultats pourrait être une localisation plus importante des données européennes, avec pour conséquence le fait que plus de données resteront en Europe ».

Cette relocalisation et le passage à une IT « plus locale » sont évidemment ce qu’appellent de leur veux les acteurs européens et le collectif Play France Digital.

« La Cour de Justice européenne vient d’annuler le Privacy Shield au motif, en résumé, que les organismes de surveillance américains font à peu près ce qu’ils veulent, sans avoir beaucoup à se justifier ni à respecter les droits des individus. En tous cas pas comme nous le concevons en Europe », analyse Servane Augier d’Outscale (membre d’Hexatrust, du projet de cloud européen GAIA-X). « En synthèse, pas de limitation aux habilitations des agences de renseignement américaines, et pas de réelle possibilité de recours des particuliers ! » lance-t-elle « pour ceux qui hésitaient encore à choisir des solutions cloud qui leur garantissent que leurs données ne vont jamais pouvoir faire l’objet d’une réquisition ou d’une surveillance par Big Brother. »

Brexit

À moyen terme, la décision aura également un impact sur les échanges d’informations entre l’Europe et le Royaume-Uni.

Il n’est en effet pas dit que l’Union européenne considère que le Royaume de sa Très Gracieuse Majesté offre un degré de protection « similaire » à celui du Vieux Continent au regard de la loi de surveillance locale baptisée Investigatory Powers Act.

« Ce jugement soulève la question de savoir si le Royaume-Uni arrivera à convaincre l’Union européenne que sa protection des données est “adéquate”, étant donné les lois de surveillance du Royaume-Uni et son appartenance aux Five Eyes [N.D.R. : alliance de services de renseignements qui regroupent les États-Unis, l’Australie, la Nouvelle-Zélande, le Royaume-Uni et le Canada] », s’interroge Daniel Tozer, responsable des sujets « données et technologies » pour le cabinet d’avocats londonien Harbottle & Lewis.

« Il est urgent que les régulateurs nous fournissent des lignes directrices claires. Aucune entreprise, à l'exception des plus grandes, ne peut faire ce type d’évaluation. »
Me Renzo Marchini Fieldfisher

Chez leurs voisins irlandais, en tout cas, la CNIL locale (la Irish Data Protection Commission) – celle-là même qui avait saisi la Cour de justice européenne – se félicite que la décision aille dans le sens de ses préoccupations et de la Haute Cour irlandaise, qui considérait que les citoyens européens ne bénéficiaient pas du niveau de protection exigé par l’Union européenne lorsque leurs données étaient transférées aux États-Unis.

« Bien que le rendu de l’affaire vise les transferts de données de Facebook dans le cas Schrems, sa portée va bien au-delà : il concerne la position des citoyens européens en général », peut-on lire dans sa déclaration officielle.

La CNIL irlandaise est d’autant plus satisfaite que le tribunal a également conclu que l’utilisation des SCC était « discutable » pour transférer des données personnelles aux États-Unis, souligne l’autorité de régulation.

« C’est une question qui nécessitera un examen plus approfondi et plus minutieux, notamment parce que les évaluations devront être faites au cas par cas », estime-t-elle.

Et Facebook dans tout cela ?

Chez Facebook – visée par la procédure – Eva Nagle, l’avocate générale de l’entreprise, a fait savoir que le réseau social étudiait les implications de cette décision.

« Nous nous félicitons de la décision de la Cour de Justice de l’Union européenne qui confirme la validité des clauses contractuelles types pour les transferts de données vers des pays non membres de l’UE », ajoute-t-elle. « Ces clauses, utilisées par Facebook et des milliers d’entreprise en Europe, fournissent des garanties importantes pour protéger les données des citoyens de l’UE ». Ou comment renverser une décision contraire par la rhétorique.

Pour approfondir sur Applications et services