Retrouvez cet article et bien d’autres sur notre blog et sur notre page LinkedIn : https://www.linkedin.com/company/2l-consultants
Vous avez probablement vu fleurir dans l’actualité de nombreux articles ces derniers jours expliquant à quel point la dernière décision de la Cour de Justice de l’Union Européenne (CJUE) va révolutionner nos vies numériques. Mais la perspective d’un débat technique en droit public international vous a vite refroidi. Ça se comprend.
Voici un résumé des faits réalisé sans trop de jargon et en quoi c’est important pour le RGPD.
Notions de base en droit américain et RGPD
Les données personnelles des ressortissants de l’Union Européenne sont protégées par le Règlement Général de Protection des Données (RGPD) depuis mai 2018. Ce texte a une portée extraterritoriale, c’est-à-dire qu’il protège ces données où qu’elles se trouvent dans le monde, y compris en dehors de l’UE. Cela pose des problèmes quand la législation locale ne dit rien sur la protection des données car cela signifie en général que rien n’est en place pour assurer cette protection et donc qu’il n’est en théorie pas possible de transférer ces données dont on n’est pas capable d’assurer la protection.
Cela pose de plus gros problèmes encore quand la législation locale dit l’inverse du RGPD, et donc que les deux textes rentrent en confrontation (notion de « conflit de droits »).
La réglementation américaine sur la protection des données existe et est un peu compliquée pour plusieurs raisons. D’une part, elle est répartie dans plusieurs textes fondateurs, notamment :
- Le Patriot Act de 2001 – loi post attentats du 11/09, liberticide au possible, donnant les pleins accès aux données personnelles aux services de renseignement ;
- Le Freedom Act en 2015 qui devait (en théorie) mettre fin à la collecte massive de données par les services de renseignement Américain en conséquence de l’affaire Edward Snowden ;
- Le Cloud Act de 2018 qui permet, entre autres, au FBI de collecter toute donnée « utile » sur les serveurs situés sur sol Américain.
Les USA étant un Etat fédéral, il faut y ajouter les réglementations locales sur le sujet qui sont prises par les Etats eux-mêmes : le CCPA pour la Californie est un bon exemple. Et bien évidemment, une couche de jurisprudence d’importance significative vient interpréter tout ça.
Bref, dans ce contexte, difficile de faire valoir le RGPD. Pour limiter les effets désastreux sur la collaboration des deux pays, les USA et l’UE ont conclu un accord qui a été retranscrit dans le droit Américain en 2015 : le Safe Harbor. Cet accord a été invalidé et a cédé sa place au Privacy Shield (Bouclier de protection des données) en 2016.
Intérêt du Privacy Shield
Le Privacy Shield donne la possibilité à certaines entreprises Américaines de s’auto-certifier, sous certaines conditions, conformes au RGPD (c’est un résumé rapide et grossier mais c’est l’idée générale).
Ainsi, il permet la transmission sécurisée (au moins juridiquement) de données personnelles de l’UE vers les USA sous certaines conditions.
Au-delà de la collaboration commerciale des entreprises de ces états entre elles, cela favorise également les échanges sur la recherche médicale par exemple ; c’est en soi une bonne idée que de vouloir créer une telle passerelle.
Pourquoi est-il remis en question par la Cour de Justice de l’UE ?
La CJUE ne s’est pas saisie elle-même : son action fait suite à une plainte de l’avocat autrichien Max Schrems à qui on doit déjà la chute du Safe Harbor.
La CJUE a donc considéré que le Privacy Shield ne permettait pas de garantir de manière suffisante le respect des droits et des libertés des ressortissants de l’UE, notamment au regard des autres réglementations en vigueur (dont le Cloud Act) qui font clairement obstacle au RGPD.
Soucieux de ménager la chèvre et le chou, la CJUE laisse une pseudo porte de sortie : la conclusion d’accords contractuels qui garantiraient le respect de ces droits. En vain, les obligations contractuelles étant d’un niveau hiérarchique inférieur aux autres textes en question, elles ne pourront y faire obstacle.
Au final, qu’est-ce que ça change ?
Le fait de transmettre des données à un tiers situé dans un pays hors UE ne peut se faire que si l’application d’un niveau de protection égal au RGPD est garanti.
C’était en théorie le cas avec les entreprises américaines qui rentraient dans le Privacy Shield jusqu’à hier. Désormais, les différents régulateurs (dont la CNIL) n’auront guère d’autre choix que de se ranger derrière l’avis de la CJUE et cela pourrait mettre en défaut les entreprises et les associations qui utilisent des services dont les données sont sorties de l’UE.
Les services en ligne hébergés aux USA sont un bon exemple : il leur faudra déporter un serveur dans un état coopératif et ne plus transférer de données aux USA pour garantir la conformité. Cela a bien évidemment un coût.
On peut donc raisonnablement penser que cela va affecter la vie des entreprises, notamment celles qui ont des filiales de part et d’autre de l’océan atlantique.
Les services de Microsoft et Google ont anticipé ces questions en déportant des serveurs en UE à la sortie du RGPD. Certes leur comportement au regard des données est loin d’être irréprochable, mais cela ne devrait pas poser de question lourde sur ce sujet pour les clients à court terme.
Conclusion
Les transferts de donnée personnelle ne sont plus possibles vers les USA en assurant un niveau de sécurisation conforme aux exigences du RGPD. C’est acté par la CJUE.
Il n’existe pas de solution juridiquement acceptable à ce jour et chacun devra faire au mieux pour essayer de trouver une solution.
L’évolution du droit américain avec un Privacy Shield 2 serait une solution mais au-delà du temps nécessaire à la rédaction et l’approbation d’un tel texte, cela irait à l’encontre de la politique souverainiste et nationaliste menée par Donald Trump qui n’apprécie pas particulièrement de se trouver contraint par une puissance étrangère d’une quelconque manière. Les intérêts économiques changeront peut-être la donne.