Transferts de données : le Data Privacy Framework sur la sellette

Si face à la nouvelle décision d'adéquation de la Commission européenne, Renaud Le Squeren et Héloïse Cuche, spécialistes en droit de la protection des données au sein de l'étude DSM Avocats à la Cour, saluent un changement « pas seulement cosmétique » et le retour à la sécurité juridique, ils invitent les entreprises européennes à respecter certains points de vigilance et soulignent que la pérennité de cet accord n’est pas assurée.

Alors que les échanges entre l’Europe et les Etats-Unis pèseraient 7 100 milliards de dollars, comme l’a rappelé récemment le président Joe Biden, le Data Privacy Framework, nouvel accord passé entre le gouvernement américain et l’Union européenne, censé garantir la sécurité des flux de données entre les Etats-Unis et l’Europe, a été adoubé par la Commission européenne, dans une décision d’adéquation du 10 juillet 2023 – l’ultime, pour l’heure, de tout une kyrielle.

« Le transfert des données est un serpent de mer », observe en effet Renaud Le Squeren, avocat spécialiste en droit de la protection des données au sein de l’étude DSM Avocats à la Cour, lors d’un webinaire organisé fin juillet. Car la question des garanties suffisantes dont peuvent se prévaloir les US pour accorder aux données individuelles transférées depuis l’Europe une protection similaire à celle octroyée par le règlement général sur la protection des données (RGPD) revient régulièrement sur le tapis. Il faut dire que c’est à cette condition qu’un pays « tiers » peut se voir reconnaître la possibilité d’effectuer un transfert libre de données personnelles depuis l’UE et de l’Espace économique européen (EEE) ; possibilité prévue par la directive sur la protection des données personnelles et par l’article 45 du RGPD. 

S’il est aujourd’hui salué d’un côté par les acteurs du numérique, critiqué de l’autre par certains militants car il n’apporterait pas d’amélioration significative en matière de données personnelles, le nouveau cadre « a permis de sortir d’une zone grise », considère pour sa part Renaud Le Squeren.

Une partie de « ping-pong » dès les années 2000

L’avocat rappelle qu’une partie de « ping-pong » a commencé dans les années 2000 avec la mise en place, en 1998, du système de Safe Harbor, par lequel certaines sociétés américaines, via une série de principes, s’engageaient à respecter la législation de l'EEE afin d'obtenir l'autorisation de transférer des données personnelles vers les États-Unis. Mais en 2015, les révélations du lanceur d’alerte Edward Snowden sur une surveillance massive opérée par les services étatiques américains ont conduit, dans l’arrêt Schrems I (affaire qui opposait le ressortissant autrichien Maximilian Schrems au Data Protection Commissioner concernant le transfert, vers des serveurs situés aux États-Unis, des données à caractère personnel des utilisateurs de Facebook résidant sur le territoire de l’Union), à l’annulation de l’accord Safe Harbor par la Cour de justice de l’Union européenne. 

« Cette décision a créé un vent de panique et amené la Commission européenne et le département américain du commerce à travailler en urgence : en quelques mois seulement, ils ont sorti un 2^e accord censé régler les points identifiés par la Cour dans l’arrêt Schrems I et qui devait permettre le transfert de données en toute sécurité », commente Renaud Le Squeren. L’accord, intitulé Privacy Shield, fonctionnait suivant la même logique d’autocertification, et comprenait un certain nombre de corrections législatives pour répondre aux critiques formulées dans l’arrêt Schrems I. Mais dans un arrêt Schrems II de 2020, la CJUE a invalidé le Privacy Shield, estimant que la législation en vigueur aux Etats-Unis ne permettait pas d’assurer un niveau de protection adéquat. 

« Cela a engendré un débat autour du caractère rétroactif ou non de cette décision : est-ce que l’invalidation avait pour effet de rendre nul depuis le départ le Privacy Shields ou est-ce qu’il avait pour effet de rendre les traitements conformes à partir du moment où l’arrêt était effectif ? » souligne Renaud Le Squeren, qui ajoute que la question n’a pas été tranchée par les juridictions et qu’aucune sanction n’a été prononcée par une autorité de protection des données sur cette problématique. 

« Par ailleurs, suite à cet arrêt, on est entrés dans une zone insupportable en termes de sécurité juridique pour les opérateurs, puisqu’il y avait des doutes sur la possibilité en elle-même de transférer des données aux Etats-Unis, pointe l’avocat, même en utilisant les autres outils à disposition – comme les clauses contractuelles types –, car la décision Schrems II indique que ces clauses contractuelles types, bien qu’étant des éléments toujours valables, ne sont pas suffisants en tant que tels. »

La décision invite en outre les opérateurs qui veulent transférer leurs données aux Etats-Unis à réaliser un assessment dont un des points doit être la conformité de la législation américaine aux standards européens. « Elle a donc reporté sur les opérateurs privés cette évaluation faite par les juristes de la Commission, ce qui est très complexe ! Beaucoup d’opérateurs se sont ainsi orientés vers des solutions européennes, d’autres ont mis en place toutes les mesures techniques, opérationnelles et contractuelles possibles et imaginables pour garantir le respect du RGPD, car il ne faut pas oublier que certaines solutions proposées par les entreprises américaines, soit n’ont pas d’équivalents dans d’autres pays, soit ont des équivalents à des tarifs beaucoup plus élevés. »

Pas qu’un simple changement cosmétique

Avec la validation du Data Privacy Framework, Renaud Le Squeren estime que face aux problèmes soulevés par l’arrêt Schrems II et faisant écho à ceux de l’arrêt Schrems I, soit un encadrement non satisfaisant de l’accès et de l’utilisation par les autorités publiques américaines des données personnelles transférées vers les Etats-Unis, ainsi que l’absence de recours effectif, les modifications apportées par ce nouveau cadre ne relèvent pas « d’un simple changement cosmétique », assure-t-il.

Au titre des apports de la décision d’adéquation de juillet 2023, il y a, d’une part, des garanties sur l’accès des pouvoirs publics aux données personnelles, avec la confirmation par les Etats-Unis d’un principe de nécessité de proportionnalité pour accéder à ces données, rapporte l’avocat, et d’autre part, la mise en place d’un mécanisme de recours à deux niveaux : d’abord, un responsable de la protection des libertés civiles de la communauté du renseignement américaine, indépendant et objectif, ensuite, une cour indépendante et impartiale chargée du contrôle de la protection des données : la Data Protection Review Court.

« L’idée de cette décision est de dire que les Etats-Unis ont pris un acte juridique contraignant à leur égard et à l’égard de leurs différentes administrations qui, premièrement, va réduire et limiter les contrôles de masse, et deuxièmement, a mis en place un système de contrôle objectif qui permet d’assurer à chaque data subject le respect de ses droits », argue Renaud Le Squeren.

Retour à un libre transfert… toutefois sous conditions

Depuis le 11 juillet 2023, il est ainsi possible pour les entreprises européennes de transférer librement des données vers les Etats-Unis sans garanties supplémentaires, enfin… toujours sous conditions. « En effet, cette nouvelle décision d’adéquation est partielle, elle ne couvre pas tout le territoire américain mais uniquement les entreprises qui adhèrent au cadre de la protection des données », nuance Héloïse Cuche, également avocate spécialiste en droit de la protection des données au sein de l'étude DSM Avocats à la Cour.

Quand les entreprises adhèrent à ce nouveau cadre, elles s’engagent ainsi à respecter un certain nombre de principes en matière de protection des données : comme le principe de limitation des finalités, du respect des durées de conservation, et aussi un certain nombre d’obligations en matière de sécurité et de partage des données à caractère personnel. C’est le ministère américain qui traite les demandes d’adhésion et vérifie que les entités respectent bien les exigences applicables avec la commission fédérale du commerce des Etats-Unis. 

« [Les entreprises européennes] doivent donc vérifier prestataire par prestataire si ces derniers ont bien adhéré au Data Privacy Framework », recommande Héloïse Cuche, qui invite d’ailleurs à vérifier annuellement si cette adhésion est toujours valable, « car les engagements souscrits par les entités dans ce cadre sont pris pour une durée d’un an ». Un autre point de vigilance consiste à contrôler si toutes les filiales du groupe (vers lesquelles les données européennes sont transférées) sont couvertes. 

Par ailleurs, l’avocate invite les entreprises européennes à vérifier si le Data Privacy Framework s’applique au traitement de données lié aux ressources humaines, ou en dehors de ce domaine, ou bien les deux. « La question va être de savoir ce que vous allez devoir mettre en place par rapport à vos prestataires suivant qu’ils ont ou non adhéré à ce cadre. »

Renaud Le Squeren précise également que si le mécanisme du Data Privacy Framework permet aux entités d’y adhérer pour certains traitements, cette adhésion n’est pas valable pour l’ensemble des traitements. « Il est donc important, dans le process de revue et de procédures internes que [les entreprises européennes] vont mettre en place, de vérifier pour quels traitements. Car cela va vite de se dire que l’entité a adhéré au Data Privacy Framework sans regarder le détail », avertit le spécialiste.

Un temps de réflexion salutaire 

« Une fois qu’on a fait ces vérifications, on peut librement transférer, échanger avec ces entités américaines. On retrouve une sécurité juridique perdue depuis quatre ans », martèle Renaud le Squeren, qui « salue cet effort ». L’avocat met également en exergue que contrairement à ce qui s’était passé pour le Privacy Shield, « la Commission européenne et les Etats-Unis ont pris le temps de réfléchir à ce qui s’est passé ». « La première fois, neuf mois ont suffi pour sortir un nouvel accord, ici, quasiment trois ans ont été nécessaires. On peut supposer qu’ils ont voulu aller au fond des choses. »

Le spécialiste précise qu’échanger des données avec des entités qui n’ont pas adhéré au Data Privacy Framework est « bien sûr toujours possible » en utilisant les outils à disposition, et notamment les clauses contractuelles types. 

Se pose cependant la question de la rétroactivité, mais aussi celle de l’assessment sus-mentionné : celui-ci est-il encore nécessaire ? Renaud Le Squeren est en tout cas d’avis que non, la Commission européenne ayant rendu « une décision valide qui confirme que les principes sont respectés ». Tel n’est néanmoins pas le cas en matière d’échanges avec les juridictions non couvertes par une telle décision – comme la Chine, etc. : pour échanger des données avec ces pays, « il faut que les entités continuent d’appliquer les recommandations issues de Schrems II et de faire cet assessment ». 

Héloïse Cuche mentionne pour sa part la problématique des transferts de données vers les Etats-Unis qui auraient pu intervenir entre le moment où la Commission européenne a invalidé le Privacy Shields et aujourd’hui avec la nouvelle décision d’adéquation, car nombreuses sont les personnes qui ont continué à opérer des transferts de données vers les Etats-Unis. « Or, les Q&A des différentes autorités de contrôle, notamment celui de la CNIL, confirment que concernant les transferts de données qui ont eu lieu entre l’invalidation et juillet 2023, les procès et enquêtes en cours vont continuer et aller jusqu’au bout. »

« Cela étant, les opérateurs vigilants ont tenté de renforcer leurs clauses contractuelles types par des engagements complémentaires et ont documenté en interne les motivations qui les ont amenés à maintenir ces traitements », relève Renaud Le Squeren, qui ajoute que des décisions de différentes autorités ont interdit des transferts voire sanctionné des opérateurs qui avaient réalisé des transferts vers les Etats-Unis. 

La fin du ping-pong ?

Et maintenant ? Peut-on augurer que le Data Privacy Framework fera davantage long feu que ses prédécesseurs, ou doit-on s’attendre à ce qu’il soit, à son tour, plus ou moins rapidement balayé ? Ce qui est sûr, c’est que Maximilian Schrems a d’ores et déjà annoncé qu’il supporterait toute entité qui serait engagée dans un procès contre la décision de la Commission européenne. Parmi ses arguments, il fait valoir que la notion de proportionnalité ne fait pas l’objet d’un consensus et a abouti à deux décisions différentes, une en droit européen, une en droit américain. « Cela peut être un gros problème », admet Renaud Le Squeren. 

« La sécurité juridique nécessite que cet accord soit contrôlé par un juge, et une fois ce contrôle fait, on saura s’il tient ou pas. J’espère qu’il pourra tenir, pour une raison évidente de sécurité juridique, nécessaire aujourd’hui », affirme l’avocat. Malgré une phase d’incertitude, donc, ce dernier espère qu’il sera enfin mis un terme à cette incessante partie de « ping-pong ».

En attendant, on sait au moins avec certitude que l’accord sera revu régulièrement par les institutions gouvernementales, « et pour la première fois, un an après son entrée en vigueur ».

Bérengère Margaritelli