Privacy Shield : Clap de fin pour l’accord transatlantique de transfert de données personnelles. Retour sur une saga juridique vieille de 20 ans

Écrit par Sylvain Longhais – auxiliaire de recherche au Laboratoire de cyberjustice – Automne 2020.

Il est de ces histoires qui ne sont pas faites pour durer. Le Privacy Shield en est l’illustration parfaite, reflétant à lui seul les difficultés d’un couple américano-européen tentant tant bien que mal de recoller les morceaux d’un compromis juridiquement voué à l’échec depuis ses balbutiements.

L’avant Privacy Shield 

Pourtant les choses avaient bien commencé, lorsque dans les années 2000, la Commission européenne et les autorités américaines accouchaient d’un premier accord, le Safe Harbor, censé régler les problématiques de flux transfrontières de données personnelles entre les États-Unis et les pays membres de l’Union européenne. Et malgré toutes les controverses entourant cet accord, force est de constater que ce mariage avait inespérément duré. Or, comme dans n’importe quel couple, la confiance est primordiale. En 2013, cette confiance fut brisée lors des révélations retentissantes d’Edward Snowden sur la manière dont les autorités américaines se saisissaient des données de millions de personnes à une échelle globale par le biais d’obligations imposées aux sociétés de la Tech américaines de leur fournir les données qu’elles détenaient sur leurs utilisateurs.

Ce scandale a non seulement fragilisé la confiance des Européens envers les Américains en ce qui concerne l’efficacité du Safe Harbor à protéger les données de leurs ressortissants, mais avait surtout été le point de départ d’une saga judiciaire dont le principal protagoniste Maximillian Schrems, à l’époque doctorant en droit, s’est mué en activiste partant en croisade contre le géant Facebook. Pour M. Schrems, les informations de citoyens européens transférées par Facebook aux États-Unis n’étaient pas protégées contre la surveillance de masse révélée au travers du programme PRISM[1].

S’en suivait alors une longue bataille judiciaire se soldant par une décision de la Cour de justice de l’Union européenne concernant le Safe Harbor et plus précisément l’adéquation du niveau de protection de ce dernier par rapport à la directive européenne de protection des données. L’arrêt Schrems de 2015 apportait une réponse nette et précise : Le Safe Harbor ne constituait pas une protection adéquate au sens de la directive 95/46/EC. Les juges européens ont notamment considéré que la Commission privilégiait la primauté des exceptions en matière de sécurité nationale américaine sur les principes de protection des données du Safe Harbor. Ils reprochaient en outre à la Commission d’avoir mal étudié la législation interne états-unienne au moment des négociations de l’accord. Tout ce raisonnement a logiquement débouché sur l’invalidation de l’accord Safe Harbor.

La naissance du Privacy Shield

En 2015, la décision de la CJUE fait l’effet d’une bombe puisqu’elle remet largement en cause la licéité des transferts de données entre l’UE et les États-Unis. Bien que certaines règles dérogatoires de transferts restent autorisées, c’est une option complète, pratique et moins contraignante qui s’écroule. Ainsi, les impératifs de continuité des flux transatlantiques de données personnelles nécessitent la reconstruction rapide d’un accord. Un premier ensemble de documents constituant le Privacy Shield voit le jour en février 2016. Bien qu’il garantisse des protections supplémentaires par rapport à son prédécesseur, de nombreuses réserves émergent que ce soit sur la forme ou sur le fond. Ce court rappel historique est capital pour expliquer la fin aussi précoce d’un accord (un peu moins de 4 ans d’activités).

Les controverses autour du Privacy Shield

La première constatation est que la lecture de l’accord est complexe. Il est composé de nombreux textes, lettres d’engagements et annexes dont on ne pouvait par ailleurs pas précisément savoir quelle était la force contraignante de ces documents.

Sur le fond, il a été reproché à cet accord un manque de transparence à la charge des entreprises américaines envers les personnes concernées par les transferts de données. Il ne contenait pas de détail sur ce qui est contraire aux principes et dans quels cas les personnes pouvaient exercer leurs droits. En ce qui concerne la conservation des données et les transferts ultérieurs, les garanties apportées dans l’accord n’étaient pas suffisantes quant aux obligations des entreprises en matière de suppression de données ou de transferts vers un pays tiers notamment.

De la même façon, le mécanisme d’ombudsperson qui visait à instaurer un médiateur entre l’Europe et les États-Unis dans le cadre de plaintes en provenance de l’Europe a été controversé. En effet, l’indépendance de ce dernier dans l’exercice de ses fonctions a été mise en doute du fait de sa nomination par le secrétaire d’État, des comptes qu’il a à rendre envers ce dernier ou encore des critères de révocations ne permettant pas d’assurer son indépendance. Le comité européen à la protection des données avait d’ailleurs considéré que le mécanisme d’ombudsperson ne pouvait pas être considéré comme un recours efficace devant un tribunal au sens de l’article 47 de la Charte des droits fondamentaux de l’Union européenne (ci-après, la Charte).

De plus, l’évolution du droit américain en matière de surveillance avec la réautorisation de la section 702 du FISA et les différents ordres exécutifs existants (12333 et 13768 notamment) ont permis d’étendre la possibilité de collecter des renseignements extérieurs tout en phagocytant les possibilités de recours pour les citoyens non américains.

Enfin, des exceptions directement insérées dans l’accord parachèvent les doutes quant à la compatibilité du Privacy Shield à la législation européenne. La plus importante est celle selon laquelle le respect des principes de l’accord peut être limité dans la mesure où la sécurité nationale, l’intérêt public ou des exigences légales l’imposent. Ainsi on comprend que cette exception n’est pas de nature à satisfaire les exigences des juges européens émises dans l’arrêt Schrems.

L’invalidation du Privacy Shield par les juges européens

Les juges européens considèrent qu’il convient d’examiner la protection des transferts de données de l’Europe vers les États-Unis en vertu des articles 7, 8 et 47 de la Charte de manière générale et pas seulement les clauses contractuelles types, objet principal du litige dans l’affaire. Ainsi, le Privacy Shield et sa décision d’adéquation intervenus après la plainte initiale doivent également faire l’objet d’un examen de compatibilité avec les règles de protection européenne.

C’est donc bien le niveau adéquat de protection des données dans le cadre de transferts depuis l’UE vers les États-Unis qui est mis en cause. Ce dernier est pour rappel prévu à l’article 45 du RGPD et lu à la lumière de la Charte européenne des droits de l’homme.

La première remise en cause provient sans surprise de l’exception aux principes du Privacy Shield aux fins de sécurité nationale, d’intérêt public ou d’exigences légales même si cette dernière est limitée à « à ce qui est strictement nécessaire pour atteindre l’objectif légitime visé et qu’il existe une protection juridictionnelle effective contre des ingérences de cette nature ». Les juges européens font écho à l’arrêt Schrems I en rappelant que la communication d’information à une autorité publique constitue une ingérence dans les droits fondamentaux au sens des articles 7 et 8 de la Charte. Et quand bien même ces articles n’offrent pas de prérogatives absolues, il convient tout de même de respecter un principe de proportionnalité et de respect des « contenus essentiels de desdits droits et libertés » pour justifier certaines atteintes considérées comme nécessaires. Or, se basant sur certains textes en droit américain, les juges européens considèrent que ces textes ne respectent pas ces exigences. De plus le PPD-28 (Presidential Policy Directive), outil signé par le président Obama à la suite du scandale PRISM et visant à instaurer des garde-fous en matière de collecte via des médias électroniques à des fins de renseignement, ne suffit pas selon la CJUE à apporter des garanties suffisantes puisqu’il autorise dans une certaine mesure la collecte en vrac de données par les services de renseignement américains. Ainsi, les limitations à la protection des données en droit américain qui ont été évaluées par la Commission dans sa décision d’adéquation n’offrent pas « une protection substantiellement équivalente à celle requise en droit de l’Union. »

La seconde remise en cause est directement liée au mécanisme d’ombudsperson et aux exigences de l’article 47 de la Charte. La Cour considère d’une part que dans le cadre de programme de surveillance, les recours devant un tribunal par un citoyen sont trop limités, voire absents. Mais pallier ces manques était tout l’objet de l’instauration du mécanisme d’ombudsperson. Ce médiateur pouvait notamment demander des informations et avoir accès un certain document d’agences fédérales américaines en vertu du Freedom of Information Act et transférer toute demande alléguant une violation de la législation américaine à l’autorité publique visée. Mais comme c’était prévisible, les juges européens remettent en cause l’indépendance du médiateur arguant notamment qu’il n’existe aucune garantie particulière permettant de maintenir sa nomination, qu’il est partie intégrante du département d’État des États-Unis et qu’il n’est pas habilité à prendre des décisions contraignantes à l’égard des services de renseignements. Ainsi, l’existence d’un médiateur n’est pas de nature à combler les limitations des voies de recours pour les citoyens européens en matière de surveillance.

Ne respectant pas les dispositions de l’article 45 du RGPD lu à la lumière de la Charte européenne, la décision d’adéquation de la Commission au sujet de la protection assurée par le Privacy Shield est invalidée par la Cour et c’est de fait tout l’accord qui tombe avec.

Enseignements et futur

Doit-on se féliciter de l’invalidation d’un tel accord ? D’un point de vue purement juridique, on aurait tendance à répondre par la positive puisque les arguments d’adéquation toujours sur le fil de la Commission européenne ont été balayés par les juges. Ainsi, il est tentant de proclamer une grande victoire pour la protection des données, le respect à la vie privée ou encore le droit à un recours effectif et d’accéder à un tribunal impartial, pour reprendre le triptyque des articles de la Charte invoqués par la Cour. C’est d’autant plus le cas que la décision est riche d’enseignements sur ce qui doit être considéré comme adéquat. Et force est de constater que les juges sont en faveur de plus de protection.

Cependant, ne doit-on pas s’interroger plus longuement sur la solution des juges ? Les clauses contractuelles de transferts des données qui étaient mises en cause dans l’affaire principale ont quant à elles bien été validées par la CJUE. Sur l’effectivité des clauses, la Cour constate qu’elle est suffisante puisque lesdites clauses doivent respecter un certain nombre d’obligations respectant la règlementation européenne. Sur le plan théorique, le raisonnement des juges fait tenir ces clauses et c’est tant mieux pour maintenir les flux transatlantiques de données personnelles. Sur le plan pratique en revanche, le contrôle du respect par les opérateurs privés de ces clauses semble se compliquer.

En premier lieu, le contrôle ne sera plus effectué que d’un seul côté de l’Atlantique plutôt que des deux. Certains argueront que le contrôle du respect des principes du Privacy Shield par les autorités américaines était largement discutable et il sera difficile de leur donner tort. Cependant, à la suite du scandale Cambridge Analytica, la Commission avait relevé une augmentation assez significative du nombre de contrôles liés au respect du Privacy Shield par les autorités américaines lors du réexamen conjoint annuel de l’accord en 2018.

En second lieu, si ces clauses contractuelles doivent s’accompagner du fait que le droit du pays tiers doit pouvoir permettre l’application de ces dernières, et que le CJUE vient dans le même arrêt considérer que les États-Unis n’offrent pas une protection adéquate en matière de données personnelles, on peut dès lors se demander si l’opérateur légitimant ses transferts par des clauses contractuelles peut quand même les opérer vers les États-Unis. La responsabilité sur la tête du responsable de traitement est également beaucoup plus lourde puisqu’on comprend que c’est à lui qu’il incombe de vérifier l’état et l’évolution du droit dans le pays tiers en plus de le placer entre deux feux. Ainsi les clauses restent valides, mais leur application floue.

Et quid des ingérences officieuses comme celles révélées en 2013 par Snowden ? On peut légitimement se poser la question de savoir si les autorités américaines ne continueront pas à collecter les données provenant d’Europe de toute façon. La différence majeure est que cette collecte ne bénéficie plus d’un régime dérogatoire et que le maigre moyen de recours qui existait jusqu’ici est désormais inexistant, sans compter que le contrôle par les autorités européennes relèvera de la navigation à vue tant les relations entre les entreprises américaines et les autorités de renseignements sont opaques.

Enfin, il conviendra de faire davantage de lumière sur l’articulation entre la décision de la CJUE et les dérogations pour les transferts prévues à l’article 49 du RGPD en ce qui a trait aux « situations particulières » de transferts.

Quelques questions restent en suspens :

Aussi imparfait qu’il soit, aurait-il mieux fallu faire perdurer un Privacy Shield d’influence européenne s’insinuant dans la législation américaine avec la possibilité d’y voir une influence en faveur de plus de protection pour l’avenir ? Est-ce que cette décision aussi juridiquement justifiée soit-elle ne comportent pas quelques effets délétères ou tout au moins contre-productifs ? Reste à savoir maintenant comment les autorités de part et d’autre de l’Atlantique vont réagir face à la situation. La solution passera-t-elle par un autre accord, par une décision d’adéquation lorsque la législation américaine le permettra ou bien par une responsabilité accrue des acteurs privés en matière de flux transfrontières ?

Force est de constater que la CJUE dans sa décision concilie les deux volets du RGPD qui sont la protection et la libre circulation des données personnelles tout en creusant un peu plus l’écart entre l’un et l’autre en matière de flux transfrontières.


[1] PRISM pour “Planning Tool for Resource Integration, Synchronization, and Management”. Programme qui servait de porte d’accès aux données des entreprises américaines de la Tech (on parle en anglais de « backdoor »). Les communications étaient en effet collectées directement depuis les serveurs de ces multinationales.

Ce contenu a été mis à jour le 9 novembre 2020 à 13 h 37 min.