Privacy Shield : « L’urgence, c'est de s’assurer que les bons véhicules de transfert sont déployés »
La décision de la Cour de Justice de l’Union européenne rendue cet été pose un problème majeur aux groupes internationaux. Fabrice Naftalski, avocat associé chez EY, appelle à de nouvelles règles qui soient réalistes et, en attendant, conseille de prendre plusieurs mesures.
La décision de la Cour de Justice de l’Union européenne – rendue cet été – de mettre fin au Privacy Shield était prévisible. « Une demi-surprise », en tout cas pour Fabrice Naftalski, avocat associé chez EY, responsable au niveau mondial des services juridiques pour la protection des données et par ailleurs DPO de EY France.
Pour lui, cette décision va plutôt dans le bon sens, mais elle pose un problème majeur aux groupes internationaux. Les transferts de données ne sont plus soumis à des règles claires, ce qui expose les entreprises à des sanctions non pas de leur fait, mais parce qu’elles doivent naviguer dans un brouillard juridique presque total (que Me Sabine Marcellin du cabinet DLGA va jusqu’à qualifier « d’insécurité juridique »).
Dans cet échange avec LeMagIT, Fabrice Naftalski revient rapidement sur les raisons de cette décision qui laissent à penser qu’un nouveau cadre ne verra pas rapidement le jour. Il appelle donc, tout comme ses collègues DPOs français, les autorités compétentes à publier de nouvelles règles directrices qui soient à la fois applicables et réalistes au regard des capacités des entreprises. En attendant, il conseille aux entreprises de prendre plusieurs mesures, qu’il nous explicite.
LeMagIT : À quelles réactions peut-on s’attendre de la part des autorités américaines après la décision de la Cour de Justice de l’Union européenne de mettre fin au Privacy Shield ?
Fabrice Naftalski : La première réaction a émané du Département du Commerce américain, qui gère l’accord de Privacy Shield (adhésion, certification annuelle, conseil des sociétés ayant adhéré à l’accord). Celui-ci a déclaré continuer à « administrer » cet outil, qu’il s’agisse notamment des instructions ou des demandes d’adhésion et du contrôle des certifications annuelles requises pour en bénéficier. Il invite les entreprises à se rapprocher de la Commission européenne et des autorités de contrôle des États membres pour toute autre question.
Il indique également que le Département du Commerce est en relation étroite avec la Commission européenne et avec le Comité européen de protection des données (dont les membres sont les autorités de protection nationales des États membres) aux fins de limiter l’impact négatif de cette décision sur les échanges transatlantiques vitaux pour les individus, les sociétés et les gouvernements.
Le 10 août, le secrétaire d’État au Commerce a indiqué que le Département du Commerce nord-américain et la Commission européenne avaient initié des discussions pour évaluer la possibilité de rendre plus robuste l’accord de Privacy Shield à l’aune de la décision Schrems II [N.D.R. : celle qui a mis fin à l’accord].
LeMagIT : Ces discussions ont-elles une chance d’aboutir rapidement à une solution pour les entreprises ?
Fabrice NaftalskiEY
Fabrice Naftalski : La difficulté est que les faiblesses mises en évidence par la décision la CJUE ne relèvent pas uniquement des prérogatives du Département du Commerce. Elles portent sur des règles substantielles du droit américain, s’agissant du niveau insuffisant de protection judiciaire des citoyens européens dans le cadre des programmes de surveillance américains.
En outre, le mécanisme de médiation prévu par le Privacy Shield ne fournit pas aux personnes concernées de voie de recours devant un organe qui offre des garanties équivalentes à celles requises par le droit de l’UE, notamment en ce qui concerne son (in)dépendance vis-à-vis de l’exécutif.
Il faudrait, pour satisfaire aux critères de la décision, que les applications de l’article 702 du Foreign Intelligence Surveillance Act (FISA) et de l’Executive Order 12333 soient mieux encadrées.
Comme indiqué dans l’arrêt Schrems 2, l’article 702 du FISA permet au procureur général et au directeur du renseignement national d’autoriser conjointement la surveillance de ressortissants non américains se trouvant en dehors du territoire des États-Unis, aux fins de se procurer des « informations en matière de renseignement extérieur ».
L’E.O. 12333 permet lui à la NSA d’accéder à des données « en transit » vers les États-Unis, en accédant aux câbles sous-marins posés dans l’océan Atlantique, ainsi que de recueillir et de conserver ces données, avant qu’elles arrivent aux États-Unis et y soient soumises aux dispositions du FISA.
LeMagIT : Considérez-vous cette décision de la CJUE comme prévisible ou comme une surprise ?
Fabrice Naftalski : La décision est une demi-surprise. La Commission européenne avait déjà formulé des demandes dans ses trois rapports d’examen annuel du fonctionnement du Privacy Shield, sur les enquêtes en cours menées par le département du commerce concernant les règles de fond du Privacy Shield.
Vera Jourova - octobre 2019Commissaire européenne pour la Justice, aujourd’hui vice-présidente de la Commission
Elle avait conclu, dans son dernier rapport en date d’octobre 2019, que « les États-Unis continuent de garantir un niveau suffisant de protection des données à caractère personnel, transférées de l’UE vers les sociétés participantes des États-Unis au titre du bouclier de protection des données ». Et la commissaire pour la Justice de l’époque, Vera Jourova, avait affirmé que « avec quelque 5 000 sociétés participantes, le bouclier de protection des données est un succès » [N.D.R. : aujourd’hui, la députée tchèque a été nommée vice-présidente de la Commission et est en charge du respect des valeurs de l’Union européenne et de la transparence].
Pour autant, dans son rapport de revue annuel de novembre 2019, le Comité de protection des données avait clairement souligné que la collecte et les accès aux données personnelles à des fins de sécurité en application du Foreign Intelligence Surveillance Act et l’Executive Order 12333 restaient problématiques.
LeMagIT : Une demi-surprise donc. Mais pour vous, est-ce une bonne ou une mauvaise demi-surprise ?
Fabrice Naftalski : Cette décision va dans le bon sens… pour autant qu’elle s’accompagne de règles directrices des autorités de protection des données à l’intention des entreprises ; des règles qui soient raisonnablement compatibles avec les contraintes économiques auxquelles elles sont soumises.
Fabrice NaftalskiEY
Les acteurs économiques n’ont pas les moyens de réaliser une évaluation du caractère adéquat de la réglementation des pays tiers – comme le fait la Commission dans le cadre de l’article 45 du RGPD.
Les exigences posées au-delà de l’utilisation des mécanismes alternatifs au Privacy Shield (utilisation des SCC et BCRs en particulier) doivent prendre en compte les leviers dont disposent les entreprises (contractuels et techniques comme le recours au chiffrement), sans paralyser les transferts de données indispensables au développement économique des entreprises européennes.
En outre cette problématique n’est pas spécifique aux États-Unis. Elle s’applique à l’identique à de nombreux pays tiers avec des garanties bien moins élevées que le système judiciaire américain.
LeMagIT : Plus largement, en tant qu’avocat avec une vision mondiale, estimez-vous que les Européens ont une vision naïve du droit US (comme le disent plusieurs partisans de la souveraineté numérique) ou au contraire qu’il y a beaucoup de « battage médiatique » ?
Fabrice Naftalski : La vision européenne de la protection des données est devenue un benchmark mondial. Nos clients – y compris dans des régions non soumises au RGPD comme le Moyen-Orient, mais aussi des grands groupes nord-américains, asiatiques ou russes – ont adopté le RGPD comme socle de leur politique de conformité en matière de protection des données.
Lorsque nous développons et déployons des programmes de conformité mondiaux pour eux, la plupart du temps nous partons du référentiel RGPD que nous complétons dans les pays qui ont des réglementations mieux-disantes, ou complémentaires, sur ces aspects de protection des données.
Fabrice NaftalskiEY
Les États-Unis ont une approche différente de celle du droit européen. Le droit européen regroupe les règles relatives à la protection des données au sein d’un texte unique. L’approche des États-Unis est d’avoir des réglementations sectorielles, ou catégorielles, en matière de protection des données personnelles et de cybersécurité.
Par exemple le « Health Insurance Portability and Accountability Act » pour les données de santé et dossiers médicaux ; le « Children’s Online Privacy Protection Act » qui restreint l’utilisation des informations collectées auprès d’enfants âgés de moins de 13 ans sur Internet ; ou encore le « Gramm-Leach-Billey » qui oblige les institutions financières à publier des informations relatives à la protection de la vie privée et à sécuriser le droit d’opposition lorsqu’elles cherchent à divulguer des données à d’autres sociétés.
Et bien, même les États-Unis envisagent aujourd’hui une loi fédérale en matière de protection des données, outre les initiatives des États de l’Union – comme le CCPA en Californie (mais aussi une dizaine d’autres États) ; CCPA qui comporte des similitudes notables avec le GDPR.
Pour autant, les États-Unis et l’Union européenne – malgré une convergence renforcée – ont encore des visions différentes du délicat équilibre à trouver entre la protection de la sécurité nationale et la protection des droits fondamentaux des individus. Le curseur se positionne également différemment en fonction des choix politiques adoptés, particulièrement aux États-Unis.
Dans l’immédiat, l’urgence pour nos clients – et plus largement pour les organisations qui transfèrent des données personnelles aux États-Unis ou dans des pays tiers – est de s’assurer que les bons véhicules de transfert sont déployés (SCC, BCRs) et de revisiter l’évaluation des risques associés.