L’invalidation du Privacy Shield, le petit caillou qui dérange les programmes de surveillance

La nouvelle est tombée par un arrêt majeur de la Cour de justice de l’Union européenne (CJUE) du 16 juillet 2020 dans l’affaire dite « Schrems II » : la CJUE invalide la décision de la Commission européenne relative au Privacy Shield, cinq ans après l’invalidation du Safe Harbor.

1. L’invalidation du Privacy Shield

L’invalidation du Privacy Shield ne repose pas sur un décalage entre les pratiques de protection de l’industrie européenne de la donnée et celles de ses concurrents, (et en particulier celles des géants du numérique), mais sur les pratiques du gouvernement des États-Unis et, notamment, sur sa politique de surveillance généralisée et ses incidences sur la protection des données personnelles des citoyens européens.

La CJUE énonce clairement que la décision instaurant le Privacy Shield, à l’instar de la décision relative au Safe Harbor, consacre « la primauté des exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation américaine » ce qui constitue un risque pour les droits fondamentaux des personnes dont les données sont transférées vers les États-Unis.

La Cour invalide donc cette décision en précisant que l’existence de programmes de surveillance empêche les entreprises américaines de respecter la réglementation européenne. Elle reconnaît ainsi l’existence de ces programmes, relevant de la sécurité nationale, et analyse leurs fondements (en l’occurrence l’article 702 FISA et l’Executive order 12333 qui encadrent les programmes PRISM et UPSTREAM) et leurs régimes juridiques pour en déduire qu’ils n’offrent pas “les limitations et les garanties nécessaires à l’égard des ingérences autorisées par sa réglementation nationale et n’assure pas non plus une protection juridictionnelle effective contre de telles ingérences”. Il est intéressant de noter que la CJUE ne fonde son argumentaire que sur la base de la réglementation alors même que l’essentiel de ces programmes est, et demeure, au mieux discret, et parfois clandestin, dont le fonctionnement ne peut se déduire de la seule réglementation.

Nul doute que les informations non réglementaires et non officielles sur ces programmes, divulguées par les lanceurs d’alerte ont constitué une source d’éclairage non négligeable pour la CJUE.

Au final, c’est l’opacité et le caractère arbitraire et massif de ces programmes qui est sanctionné par la Cour au travers de l’argument d’absence de proportionnalité.

La Cour profite de cet arrêt pour préciser que les autorités européennes sont « tenues de s’acquitter de [leur] responsabilité de veiller à ce que le RGPD soit pleinement appliqué avec toute la diligence requise ». Or, il est évident qu’aucune autorité n’est en mesure, sinon par des données statistiques, de vérifier que la protection des citoyens européens est effective devant les tribunaux américains et que leurs droits fondamentaux sont respectés dans l’enceinte des autorités gouvernementales.

Finalement, cet arrêt marque un « changement fondamental », comme le souligne le requérant lui-même, et permet d’ouvrir la réflexion sur l’ensemble des transferts de données avec les pays tiers à l’Union européenne et en particulier les fameux Five Eyes. De nombreux pays (Australie, Russie, Chine, etc.) ont adopté des législations relatives à leur sécurité nationale rendant possibles des ingérences dans les droits fondamentaux et cette décision pourrait constituer un socle de référence par l’étude des décisions d’adéquations, « à la lumière de la Charte » des droits fondamentaux de l’Union européenne. Au-delà de ces aspects, la CJUE consacre la portée extraterritoriale du RGPD et impose aux programmes de surveillance de prévoir des voies de recours effectives pour les citoyens européens (sic). Rappelons que certains observateurs estiment que ces programmes sont détournés de leur finalité initiale et utilisés également à des fins économiques … ce qui enjoindrait les entreprises d’adopter un raisonnement similaire à celui exposé par la CJUE, et donc d’encadrer plus strictement les transferts de données vers les États-Unis, pour les données sensibles non personnelles. Le RGPD sera-t-il également détourné pour assurer, de manière tout à fait incidente, une meilleure protection des entreprises européennes ? Ou pour encadrer les programmes européens de renseignement ?

En tout état de cause, les responsables européens disposent d’un moyen de négociation supplémentaire sur les fournisseurs de service numérique outre-Atlantique pour requérir des mesures de sécurité complémentaires qu’ils ne seront pas en mesure d’apporter sauf à faire modifier la loi américaine. Nul doute que les efforts des lobbyistes vont se concentrer autant sur Washington que sur Bruxelles dans les prochaines semaines.

2. Quels impacts sur la conformité ?

La présente décision a invalidé la décision relative au Privacy Shield mais pas la décision relative aux clauses contractuelles types de la Commission européenne. Il est donc toujours possible de fonder un transfert de données sur ces clauses, comme se sont empressées de le rappeler les entreprises américaines. Toutefois, la Cour précise que ces clauses doivent présenter un haut niveau de garantie.

Il est par conséquent nécessaire :

  • pour l’ensemble des acteurs qui se fondaient sur le Privacy shield pour des transferts internationaux de données, d’inclure ces clauses contractuelles types ou des instruments équivalents comme des codes de conduite approuvés ou des règles d’entreprise contraignantes ;
  • pour les responsables de traitement, qui utilisaient les produits ou services d’entreprises américaines (notamment des GAFA), de vérifier que ces entreprises ont substitué au Privacy Shield un autre instrument, valable et effectif et, à défaut, envisager la résilience (ou, dans le cas extrême, le changement) de leurs fournisseurs défaillants…

Valentin Schabelman & Frédéric Duflot – Examin

Nous conseillons...