Dans un arrêt rendu le 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) décidait d’invalider les règles du Safe Harbor, en vigueur depuis juillet 2000, permettant aux entreprises européennes travaillant avec des entreprises américaines ayant adhéré aux principes du Safe Harbor de transférer légalement des données personnelles vers les Etats-Unis. (1) Ces transferts de données peuvent concerner par exemple les transferts de fichiers entre les sociétés d’un même groupe situées de part et d’autre de l’Atlantique, ou les transferts entre une société européenne et un prestataire situé aux Etats-Unis (hébergeur ou service cloud par exemple).
Pour rappel, les transferts de données personnelles en dehors de l’Union européenne restent par principe interdits, sauf quelques exceptions, alors que depuis la directive du 24 octobre 1995 sur la protection des données personnelles, les entreprises peuvent librement transférer les données personnelles d’un Etat membre à un autre sans formalités particulières. (2)
Depuis cet arrêt du 6 octobre 2015, la Commission européenne et les Etats-Unis ont négocié en vue d'établir un nouveau cadre pour mieux protéger les transferts de données à caractère personnel de citoyens européens vers les Etats-Unis. L'objectif de la Commission était de conclure ces discussions avant fin janvier 2016. (3) Un accord de principe a été conclu début février 2016 et le 29 février, le texte de l’accord, dénommé “Privacy Shield” (ou “Bouclier de protection des données”) a été publié.
Nous faisons un point ci-dessous sur les principes applicables au nouvel accord Privacy Shield puis revoyons les autres “outils” juridiques à la disposition des entreprises européennes qui doivent transférer des données personnelles vers les Etats-Unis.
1. Les principes régissant l’accord Privacy Shield
Le texte du nouvel accord Privacy Shield (“Bouclier de protection des données UE-US” ou “EU-US Privacy Shield arrangement”), relatif aux transferts de données personnelles entre les Etats-membres de l’Union et les Etats-Unis a été publié le 29 février dernier. (4)
L’objectif des principes constitutifs du Privacy Shield est de fournir des normes de protection pour les données de citoyens européens transférées aux Etats-Unis, équivalentes aux normes en vigueur au sein de l’Union européenne. Notamment, avec le nouvel accord Privacy Shield, les autorités ont voulu pallier les carences relevées dans les principes de Safe Harbor et mettre un terme à la pratique de surveillance de masse par les services de sécurité américains, révélée au cours de l’affaire Snowden.
Les principales dispositions de l’accord Privacy Shield, qui diffèrent des principes de Safe Harbor, peuvent être résumées ainsi :
- Les entreprises qui adhéreront au Privacy Shield seront soumises à des obligations strictes accompagnées de mécanismes de surveillance, afin de garantir le respect de leurs engagements ;
- L’accès aux données personnelles par les autorités américaines sera encadré et transparent. L’accès généralisé aux données est expressément interdit ;
- Plusieurs mécanismes de recours sont mis en place. En effet, l’un des problèmes soulevés avec les principes de Safe Harbor était l’absence de possibilité pour les citoyens européens de s’adresser à une instance aux Etats-Unis en cas de non-respect de ses engagements de protection des données par l’entreprise concernée. Désormais, les citoyens européens disposeront des moyens de recours suivants :
(i) un mécanisme de médiation au sein du Département d’Etat (State Department). Ce service de médiation sera notamment indépendant des services de sécurité américains ;
(ii) la possibilité de s’adresser aux entreprises américaines concernées adhérentes au Privacy Shield, en cas de contestation ou de problème sur leurs données personnelles. Celles-ci devront apporter une réponse dans un délai de 45 jours ;
(iii) un mécanisme de règlement extrajudiciaire des litiges sera disponible, sans frais ;
(iv) la possibilité de s'adresser à leur autorité de protection des données (telle que la CNIL). Chaque autorité de protection communiquera avec la Federal Trade Commission (FTC ou Commission fédérale du commerce) pour que les plaintes déposées soient examinées et réglées. (v) Enfin, un mécanisme d’arbitrage sera disponible en dernier ressort.
Par ailleurs, les entreprises américaines pourront volontairement s’engager à se conformer aux conseils émis par les autorités de protection des données. En revanche, il s’agira d’une obligation pour les entreprises traitant des données de ressources humaines.
- Enfin, l’accord de Privacy Shield comprend un mécanisme de réexamen annuel conjoint entre la Commission européenne et le ministère américain du commerce, ainsi que des experts nationaux du renseignement travaillant au sein des autorités américaines et européennes de protection des données. Ce réexamen annuel aura pour objet de contrôler le fonctionnement du Privacy Shield, et notamment le respect des engagements concernant l'accès aux données à des fins d'ordre public et de sécurité nationale.
Pour autant, ce nouvel accord n’est pas encore applicable. La Commission européenne doit donner son avis sur la décision d’adéquation de cet accord, conformément à l’article 31 de la directive de 1995 sur la protection des données personnelles. (5) En effet, sans cette décision d’adéquation - qui signifie que la Commission estime que les données transférées en vertu du Privacy Shield sont considérées comme bénéficiant d’un niveau de protection adéquat au regard du droit européen, les entreprises européennes ne peuvent pas encore transférer de données personnelles à des entreprises américaines qui prétendraient se conformer à ces principes.
L’évaluation de l’accord de Privacy Shield sera réalisé par les membres du G29, au regard non seulement de la directive de 1995 sur la protection des données personnelles, mais également de la décision Schrems de la CJUE du 6 octobre 2015 (ayant invalidé le Safe Harbor), de la lettre du G29 à la Commission européenne sur le Safe Harbor du 10 Avril 2014, et plus généralement de la jurisprudence européenne sur les droits fondamentaux et du document de travail du G29 sur les transferts de données à caractère personnel vers des états tiers.
En attendant, les entreprises devant mettre en place des procédures de transfert de données vers les Etats-Unis peuvent utiliser d’autres moyens à leur disposition.
2. Les autres “outils” juridiques permettant le transfert de données personnelles vers les Etats-Unis
En attendant la publication de la décision d’adéquation du Privacy Shield de la Commission européenne, les entreprises européennes qui doivent transférer des données vers les Etats-Unis peuvent mettre en place des solutions juridiques alternatives. Pour rappel, trois solutions peuvent être mises en oeuvre : les Clauses contractuelles types (CCT), le contrat privé et les Binding corporate rules (BCR) au sein d’un groupe multinational.
Les Clauses contractuelles types sont relativement simples à mettre en oeuvre, sous réserve d’identifier le modèle de contrat applicable et le faire signer, en l’état, par chacune des parties. Toutefois, en cas de modification des Clauses contractuelles, le document devra alors être envoyé à l’autorité de protection des données pour validation.
La solution du contrat, rédigé par les parties et adapté aux transferts de données envisagés, peut être favorisée. Solution plus flexible et adaptée que les Clauses contractuelles types, il est cependant nécessaire de prendre en compte leur coût, et le fait que ces contrats sont soumis à une demande d’autorisation à l’autorité de protection. Cette solution peut être utilisée entre deux partenaires commerciaux ou entre les sociétés d’un même groupe (alternative aux BCR).
Enfin, la solution des Binding corporate rules - BCR (ou “règles d’entreprise contraignantes”) ne peut être déployée que dans le cadre d’un groupe multinational et n’est pas une alternative pour les relations avec des partenaires commerciaux ou prestataires de services tiers. Les BCR sont assez lourdes à mettre en place : plusieurs mois de travail pour leur élaboration, puis leur approbation par une autorité de protection des données, avant de pouvoir être déployées dans le groupe. Cependant, une fois la procédure autorisée et déployée, ce système a le mérite de la stabilité.
Il convient de rappeler qu’en cas de transferts non autorisés de données vers un pays tiers, les sanctions encourues en cas de non respect de la réglementation sur la protection des données personnelles peuvent atteindre 300.000 euros d’amende et 5 ans d’emprisonnement.
* * * * * * * * * * * *
(1) CJUE, grande ch., 6 octobre 2015, Maximillian S. / Data Protection Commissioner
(2) voir notre article “Quelles mesures pour le transfert de données personnelles vers les Etats-Unis après l’invalidation des règles du Safe Harbor par la CJUE ?” publié en novembre 2015
(3) Communiqué de la Commission européenne du 6 novembre 2015, “La Commission publie des orientations sur les transferts transatlantiques de données et appelle à définir rapidement un nouveau cadre à la suite de l'arrêt rendu dans l'affaire Schrems”.
(4) Communiqué de la Commission européenne du 29 février 2016 “La Commission européenne présente le paquet «bouclier de protection des données UE-États-Unis»: des garanties solides pour restaurer la confiance dans les transferts transatlantiques de données”
(5) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Mars 2016
