Data Privacy Framework : Nouveau garant RGPD

Saisie dans le cadre de l’affaire Schrems II, la Cour de Justice de l’Union Européenne avait, dans un arrêt rendu le 16 juillet 2020, invalidé le Privacy Shield, encadrant les transferts de données entre l’Union européenne et les États-Unis. Une décision historique et non sans conséquences, ayant suscité de vives réactions dans le domaine de la protection des données et impliqué un flou concernant les transferts de données vers les Etats-Unis.

De Safe Harbor à Privacy Shield

Maximilien Schrems s’engage dans une bataille contre Facebook lorsqu’il découvre que les services secrets américains ont accès à toutes les données des grandes plateformes de réseaux sociaux. La première victoire de ce célèbre activiste, remonte au mois d’octobre 2015 lorsqu’il obtient l’invalidation du Safe Harbor, considéré comme l’ancêtre du Privacy Shield. En effet, après avoir vu sa demande rejetée par le Data Protection Commissioner (commission de protection des données irlandaise) au motif que le Commission européenne avait validé le Safe Harbor dans sa décision 2000/520, Maximilien Schrems saisit la Cour Suprême irlandaise qui a alors interrogé la CJUE par renvoi préjudiciel. La Cour avait, par sa décision, annulé le Safe Harbor au motif qu’il ne permettait pas d’assurer un niveau de sécurité adéquat.

A la suite de cette décision et de l’enquête menée par le DPC auprès de Facebook Ireland, Maximilien Schrems, informé que la plupart des transferts opérés vers les Etats-Unis étaient encadrés par les clauses contractuelles types de la Commission européenne, assurait que cela était toujours insuffisant. Pourquoi ? Parce que ces clauses n’engagent pas les autorités américaines. Saisie une nouvelle fois par la Cour Suprême irlandaise, d’une série de onze questions, la CJUE s’est penchée sur trois grands points, à savoir : le niveau de protection du Privacy Shield, le niveau de protection des résidents européens dont les données sont traitées aux États-Unis et enfin le niveau de protection des clauses contractuelles types.

La décision de la CJUE

Dans son arrêt du 16 juillet 2020, la Cour a jugé insuffisant le niveau de protection des résidents européens dont les données sont traitées aux États-Unis ainsi que le niveau de protection apporté par le Privacy Shield.

Après avoir constaté  l’accès des autorités publiques américaines aux données personnelles à des fins de sécurité nationale, notamment grâce au Foreign Intelligence Surveillance Act (FISA) et l’Executive Order (E.O.) (programmes permettant aux agences de renseignement  d’accéder et de traiter des données incluant celles de résidents européens), un non-respect des exigences requises par le droit de l’UE mais aussi l’absence de recours des personnes concernées devant les juridictions contre les autorités américaines, force était de constater que le Privacy Shield ne suffisait pas à corriger ces écarts.

Pour ce qui concerne le niveau de protection des clauses contractuelles types, la Cour, bien qu’ayant validé ces clauses, a apporté quelques précisions. Selon elle et conformément à l’article 44 du RGPD, le niveau de protection des personnes physiques garanti par le RGPD ne doit en aucun cas être compromis. Autrement dit, le niveau de protection des données transférées doit être équivalent à celui assuré au sein de l’Union européenne.

Pour reprendre l’exemple des Etats-Unis et des problèmes soulevés tels que, l’ingérence des agences de surveillance et l’absence de recours des personnes concernées, il est évident que les clauses contractuelles types ne permettent pas d’y remédier puisqu’elles n’entrainent aucune obligation pour les autorités du pays destinataire.

Cependant, la décision adoptant ces clauses ne sera pas annulée au motif qu’elles peuvent être complétées par d’autres mesures comme le prévoit l’article 46 du RGPD. Ce sera donc à l’exportateur d’analyser le niveau de protection fourni par le pays tiers en se penchant sur la législation et les pratiques en vigueur et d’apporter ou non des garanties supplémentaires à celles offertes par les clauses.

Quelles sont les conséquences de cette annulation ?

Il y a deux hypothèses. La première concerne les transferts vers les pays membres de l’Union européenne ainsi que les pays reconnus comme apportant un niveau de sécurité adéquat et là, il n’y a pas d’obstacle. En effet, le transfert vers un pays reconnu comme offrant un niveau de protection adéquat peut être effectué comme s’il s’agissait d’un transfert mis en œuvre au sein de l’Espace économique européen.

La deuxième hypothèse concerne les transferts effectués vers un pays reconnu comme non adéquat. Dans ce cas, l’exportateur devra, en plus d’encadrer le transfert par un outil type clauses contractuelles types, BCR ou certification, analyser le niveau de protection du pays tiers, ajouter des garanties supplémentaires si nécessaire et réévaluer régulièrement le niveau de protection des données transférées.

En d’autres termes, si l’outil suffit à apporter un niveau de sécurité adéquat, le transfert pourra être effectué. Autrement, l’exportateur devra ajouter des mesures supplémentaires. Si ces mesures suffisent à corriger l’écart, le transfert pourra être mis en œuvre. Autrement, il devra être suspendu s’il est en cours, ou ne pas être mis en œuvre s’il n’est pas encore initié. Pour ce qui concerne les transferts en cours vers les États-Unis, l’exportateur se doit de vérifier que le cocontractant n’est pas concerné par les lois autorisation l’accès aux données à des agences nationales et si c’est le cas, remplacer le Privacy Shield par un autre outil d’encadrement.

Autrement, il faudra suspendre les transferts pour lesquels les garanties de protection ne sont pas suffisantes.

Quel est l'objectif principal de ce Privacy Shield ? 

Pousser et encourager les exportateurs à avoir recours à des sous-traitants établis au sein de l’Union européenne, éviter les transferts vers les pays ne bénéficiant pas d’une décision d’adéquation et les pays dont les lois nationales permettent l’accès aux données des résidents européens à des agences étatiques.

Le Data Privacy Framework, grand successeur du Privacy Shield

C’est le 10 juillet dernier que cette nouvelle décision a été adoptée par la Commission européenne. Cela implique donc que les modifications apportées par les Etats-Unis à leur législation, depuis l’invalidation du Privacy Shield, permettent à présent d’assurer un niveau de protection adéquat des données. Une condition est imposée : les organisations situées aux États-Unis et vers lesquelles sont transférées les données à caractère personnel doivent s’engager à respecter ce nouveau Framework via un processus formel que nous détaillerons.

Quels changements ? À la suite de l’invalidation du Privacy Shield, pour les raisons énoncées ci-dessus, commence le processus visant à mettre en place une nouvelle garantie encadrant les transferts aux Etats-Unis. Joe Biden, président américain a tout d’abord conclu un décret présidentiel (EO 14086) ayant pour but de renforcer les garanties contraignantes quant à l’utilisation des données personnelles par les services de renseignement américains. Concrètement, ces garanties impliquent des limitations d’accès des services de renseignement aux données des citoyens de l’Union européenne. Ils devront systématiquement s’assurer que la collecte est « nécessaire et proportionnée ». Les citoyens européens, quant à eux, pourront désormais accéder à une Cour de contrôle de la protection des données (Data Protection Review Court – DPRC) qui aura le pouvoir d’ordonner la suppression des données collectées en violation des nouvelles garanties.

Un contrôle régulier. Des examens seront menés périodiquement par la Commission européenne en collaboration avec les autorités de contrôle américaines et européennes afin de vérifier le bon fonctionnement du Data Privacy Framework et notamment la mise en œuvre de tous les éléments pertinents dans le cadre juridique américain ainsi que son fonctionnement effectif dans la pratique. Le premier contrôle a été fixé un an après l’adoption de la nouvelle décision.

Comment ça marche ? Toute entreprise américaine qui souhaiterait bénéficier du Data Privacy Framework doit soumettre un dossier au Département du Commerce américain et démontrer sa conformité avec les principes de ce nouveau cadre pour en bénéficier. La liste des entreprises qui s’engagent à respecter ce nouveau cadre a été publiée et est disponible sur ce lien. Cette certification doit être renouvelée annuellement. Dès lors qu’elle est certifiée, l’entreprise n’a pas besoin de choisir d’autres garanties de celle-ci. Autrement dit, il n’est pas nécessaire d’ajouter des mesures complémentaires comme c’était le cas à l’invalidation du Privacy Shield.

Perdu d’avance ? NOYB, organisation de protection de la vie privée, dont le fondateur n’est autre que Max Schrems, a, très rapidement, critiqué cette nouvelle décision.  Elle affirme que le Data Privacy Framework est « en grande partie une copie de Privacy Shield » et que ce troisième accord « sera probablement renvoyé devant la Cour de justice (CJUE) dans quelques mois ». Ses arguments ? D’abord le flou découlant des termes vagues utilisés dans le décret américain sur l’aspect « proportionné » et le maintien de la réglementation FISA 702 jugée non proportionnelle par la CJUE dans l’arrêt Schrems II. Ensuite, le fait que la Data Protection Review Court ne soit pas une juridiction « « au sens juridique normal de l'article 47 de la Charte ou de la Constitution américaine, mais un organe relevant du pouvoir exécutif du gouvernement américain ».

Après l’invalidation du Safe Harbor et du Privacy Shield, confirmera-t-on dans quelques mois le fameux dicton « Jamais deux sans trois » ?

Affaire à suivre…

Le transfert des données est un sujet qui vous intéresse ? Nous avons créé un livre blanc, pour que vous soyez incollable !