carte blanche

Nouveau tour de vis pour le transfert de données vers les USA

La Cour européenne de Justice (CEJ), dans son arrêt "Schrems II", rejette le Bouclier de protection des données personnelles ("Privacy Shield") qui devait assurer aux États-Unis un niveau de protection équivalent à l’Union européenne. Une décision judiciaire majeure qui est tout sauf une surprise.

Dans son arrêt du 6 octobre 2015, la Cour européenne de Justice (CEJ) avait jugé dans l'affaire Schrems que la "sphère de sécurité" ou "Safe Harbour principle" établi par les États-Unis était invalide et ne pouvait être invoquée pour justifier le transfert de données personnelles vers les USA.

Pour rappel, avant le Règlement général sur la protection des données (RGPD), la directive européenne 95/46 (et en Belgique la loi du 8 décembre 1992) fixait des conditions strictes au transfert hors de l'Union et imposait que le pays d'accueil garantisse un niveau de sécurité des données "équivalent" à la protection accordée dans l'Union.

Un nombre limité de pays avaient été reconnus comme remplissant ce critère, ce n'était pas le cas des États-Unis.

Première tentative d'autorégulation

Dès lors, le département américain du Commerce et la Commission européenne avaient établi un cadre appelé "sphère de sécurité" ou "safe harbour principle" permettant aux entreprises américaines qui le souhaitaient de s'engager à respecter diverses règles afin de garantir une protection équivalente des données. Ce mécanisme d'autorégulation et d'autocertification volontaire rendait donc valable un transfert vers les États-Unis. Près de 4.000 entreprises américaines donc Microsoft ou Facebook avaient adhéré à ces principes.

Les autorités américaines avaient largement démontré qu'elles faisaient fi des principes européens en la matière.

Dans le cas de Facebook, tout utilisateur européen était tenu de souscrire un contrat avec Facebook Irlande, une filiale de Facebook Inc qui est la société mère américaine. Or, une partie des données personnelles des utilisateurs européens de Facebook était transférée vers Facebook Inc et ce, grâce à la certification Safe Harbor. Monsieur Schrems, un citoyen autrichien, utilisateur de Facebook s'opposa à ce transfert et déposa une plainte afin qu'il soit interdit à Facebook Irlande de transférer ses données personnelles vers Facebook Inc.

Dans son arrêt de 2015, la CEJ rejetait cette certification, car les autorités américaines avaient largement démontré qu'elles faisaient fi des principes européens en la matière, en exigeant que les entreprises américaines même certifiées "Safe harbor" leur donnent accès sans limites à leurs données personnelles y compris provenant de l'Union.

La CEJ constatait que le "Safe harbor" ne garantissait pas un niveau de protection équivalent à celui de l'Union. Elle pointait ainsi, justement, la trop grande tolérance de la Commission par rapport aux États-Unis. On rappellera d'ailleurs que dans l'affaire Swift, ladite Commission avait déjà accepté une importante dérogation aux règles européennes.

Certes, la directive (comme le RGPD) prévoyait que la Commission puisse "constater" que, suite à des engagements internationaux négociés, un pays assure un niveau de protection équivalent, mais la CEJ reprochait à la Commission de ne pas avoir tenu compte des dérives sécuritaires aux États-Unis révélées notamment par l'affaire Snowden.

Seconde tentative avec le "Privacy Shield"

Après le rejet du "Safe harbour", pour ne pas interrompre les flux de données transatlantiques, une solution de secours fut rapidement mise en place sous la forme du "Privacy shield", c.-à-d. un mécanisme élaboré en collaboration entre le département américain du Commerce et la Commission européenne pour permettre aux entreprises y adhérant de remplir les conditions de protection des données. Il s’agissait à nouveau d’un mécanisme d’autocertification.

Vu les transferts importants de données personnelles au sein des groupes internationaux, les entreprises impliquées dans des transferts de l’UE vers les États-Unis, feront bien de réexaminer leur pratique.

J’avais, à l’époque, déjà soulevé que le Privacy Shield présentait en substance le même défaut majeur que son aîné le Safe Harbour à savoir qu’il ne limitait pas l’accès aux données par les autorités américaines, "d’une manière qui satisfait à des exigences essentiellement équivalentes à celles requises par le droit européen". De fait, le niveau de protection "équivalent" n’était donc pas assuré par rapport aux autorités américaines.

C’est précisément la raison pour laquelle la CEJ, dans son arrêt du 16 juillet 2020, a déclaré invalide le "Privacy shield". Rien que de prévisible donc.

Est-ce à dire que tout transfert de données personnelles vers les États-Unis devient impossible? Non, car le RGPD prévoit que lorsque l'État étranger n'assure pas un niveau de protection adéquat, un transfert reste possible si (i) le travailleur y a consenti — après avoir été informé des risques, (ii) si ce transfert est nécessaire à l'exécution d'un contrat (par exemple, une convention d'octroi d'options sur actions), (iii) si le transfert est nécessaire à la sauvegarde de l'intérêt vital de la personne ou encore (iv) si la société concernée a démontré qu'elle assurait un niveau de protection équivalent par exemple par des règles d’entreprises contraignantes approuvées ou le recours aux clauses standards.

Il est vrai cependant que, vu les transferts importants de données personnelles au sein des groupes internationaux, les entreprises impliquées dans des transferts de l’UE vers les États-Unis, feront bien de réexaminer leur pratique.

Par Christophe Delmarcelle, Avocat associé au cabinet DEL-LAW, Juge suppléant au tribunal du travail

Lire également

Messages sponsorisés