1. Introduction

Les évolutions technologiques, accentuées par la situation actuelle de pandémie de Covid-19, bouleversent totalement les échanges de données à travers le globe, profitant de la libre circulation des données personnelles au sein de l’Union européenne mais prenant également un certain nombre de risques avec des transferts hors UE. La question des transferts de données personnelles a créé de nouveaux enjeux mais aussi de nouvelles préoccupations, notamment depuis l’arrêt de la Cour de justice de l’Union européenne du 16 juillet 2020, pour le cas des États-Unis.

Pour mémoire, nous avons déjà traité de ce sujet ici, ici ou encore . C’est à l’approche de l’anniversaire de l’arrêt de la CJUE et après la publication des nouvelles clauses contractuelles types par la Commission Européenne que PiaLab a décidé d’approfondir encore le sujet.

2. Les lacunes de la législation américaine

À titre de rappel, tout transfert hors UE, et a fortiori tout transfert vers les États-Unis, ne peuvent se faire que dans le plein respect du Chapitre V du Règlement général sur la protection des données.

Pour les transferts de données vers les USA, le problème est que la législation des États-Unis a été jugée inadéquate en matière de garanties pour les droits et libertés des personnes, et en particulier en matière de protection des données personnelles. En effet, cette idée s’est illustrée à de nombreuses reprises après les révélations d’Edward Snowden, le scandale de l’affaire Cambridge Analytica, ou bien encore la «saga contentieuse» Schrems, qui mérite un attention particulière tant elle a bouleversé le cadre juridique applicable aux transferts de données.

La Cour de justice de l’Union européenne, la CJUE, s’est prononcée sur la question des transferts de données vers les États-Unis dans désormais une célèbre décision C­318/11, dite « Schrems II » en date du 16 juillet 2020. La Cour vient déclarer l’invalidité du bouclier de protection (« Privacy Shield ») en fondant sa décision sur plusieurs raisons. D’abord, la primauté des exigences des États-Unis en matière d’application de la loi sur celles du bouclier de protection des données, et donc du droit des contrats. Ensuite, un manque de limitations et de garanties nécessaires sur le pouvoir des autorités en vertu de la loi étasunienne, en particulier à la lumière des exigences de proportionnalité. La Cour a également soulevé l’absence de recours effectifs aux États-Unis pour les personnes concernées de l’Union européenne et les lacunes du mécanisme de médiation du bouclier. Plus précisément, la Cour a accordé une attention particulière aux articles 7, 8 et 47 de la Charte des droits fondamentaux de l’Union européenne pour justifier l’invalidité du bouclier avec effet immédiat, du fait des incompatibilités du droit étasunien.

3. La question des clauses contractuelles types

La Cour dans la décision «Schrems II» maintient la validité de l’usage de clauses contractuelles types. Rappelons que le chapitre V du RGPD relatif aux transferts précise qu’il revient aux responsables de traitement de prévoir des garanties supplémentaires pour compléter l’éventuelle insuffisance des clauses contractuelles types. Le problème étant que la Cour de justice de l’Union européenne, en évoquant la question des clauses contractuelles types à l’égard des co-contractants soumis au droit des États-Unis, ne donne aucune information quant à ces garanties supplémentaires, entraînant une incertitude et un risque juridique.

Il peut être relevé que le raisonnement suivi par la Cour démontre une certaine faiblesse et trahit un manque de familiarité avec les implications pratiques de leur utilisation. Cette situation exceptionnelle force le responsable de traitement ou le sous-traitant à réaliser une véritable évaluation au cas par cas du niveau de protection de l’État tiers. Cela obligera les responsables du traitement à devenir des experts en droit comparé (UE / pays tiers) d’une manière qui dépasse les capacités de bon nombre d’entre eux, et soulève notamment des questions sur les transferts de données vers des pays tiers qui ne sont pas démocratiques et où l’État de droit ne s’applique pas.

De plus, la loi étasunienne ayant été jugée par la CJUE comme d’apportant pas les garanties adéquates aux personnes concernées, et ce quelque soit le contrat passé par ailleurs (ex : Privacy Shield), nous restons dans l’impasse vis-à-vis des tranferts vers les USA.

4. Les dérogations de l’article 49 du RGPD

Les difficultés posées par les clauses contractuelles types poussent à envisager les dérogations de l’article 49 du RGPD pour justifier les transferts de données à caractère personnel de l’Union européenne vers les États-Unis. En effet, face au vide juridique que laisse la décision «Schrems II», il ne doit pas être permis d’interpréter et d’utiliser cet article comme une règle générale pouvant servir à combler l’incertitude de la législation actuelle pour les transferts de données personnelles vers les États-Unis. Il faut bien comprendre que l’article 49 doit toujours être envisagé en dernier ressort et que les dérogations doivent être interprétées de manière restrictive, à savoir que l’exception ne devient pas une règle.

Par conséquent, on ne saurait valablement fonder par principe, les transferts de données personnelles vers les États-Unis sur l’article 49, là encore sauf exception spécifique.

5. Les recommandations du Comité européen de la protection des données

Le paysage des transferts de données personnelles a été bouleversé et pour faire face à ce cadre juridique illusoire, le Comité européen de la protection des données a adopté le 10 novembre 2020, deux recommandations essentielles en la matière. Dans la première recommandation 01/2020, le Comité précise que les garanties contractuelles ne peuvent remédier le plus souvent qu’aux lacunes marginales d’une protection déjà essentiellement équivalente lorsqu’elles sont mises en œuvre dans le cadre d’un ensemble plus large de mesures supplémentaires, au même titre que les mesures organisationnelles. Finalement, le Comité semble, lui aussi, très méfiant quant à l’utilisation de mesures uniquement non-techniques car elles ne permettront généralement pas de surmonter l’accès aux données personnelles par les autorités publiques du pays tiers.

Aussi, le Comité européen propose aux organisations de se fonder sur des mesures techniques pour permettre les transferts vers les États-Unis et les pays tiers. Pour pouvoir être considérées comme efficaces, celles-ci (ex : chiffrement, pseudonymisation) doivent garantir l’impossibilité de remonter à la personne concernées une fois le transfert effectué. L’état actuel des connaissances techniques et académiques sont alors le principal obstacle : Comment traiter intelligemment et de manière complexe une donnée si elle est chiffrée ? Comment garantir l’impossibilité de la réidentification d’une donnée pseudonymisée avec la puissance de l’intelligence artificielle et la quantité de données disponible par d’autres sources (ex : réseaux sociaux numériques) ? Dans ces conditions, un transfert licite n’est alors possible qu’en théorie, car il se heurterait immédiatement aux réalités de la pratique lors de sa mise en œuvre, ne pouvant assurer les exigences précédentes sans être rendu inopérant.

6. Les conséquences pour les organisations impliquées

Face à cette situation, la grande majorité des organisations auront beaucoup de mal à mettre en œuvre de telles mesures. Elles n’auront alors que quatre choix :

  1. Refuser le risque, en stoppant les activités de traitement impliquant des transferts hors UE, et en particulier aux USA ;
  2. Refuser le risque, en rapatriant les traitements de données concernés par des lois de pays tiers inadéquats, et en particulier celles des USA ;
  3. Atténuer le risque, en complétant leurs traitements de mesures techniques complémentaires (de chiffrement pour le cas de loi d’espionnage comme le FISA étasunien), sans que celles-ci rendent leurs traitements inopérants (ex : chiffrer intégralement un service de messagerie électronique, y compris les méta-données où se trouve par exemple l’adresse du destinataire, sans rendre le service inopérant, est techniquement et intrinsèquement impossible)
  4. Accepter le risque, en l’état en procédant à un transfert illicite, et s’exposer à des amendes administratives, des sanctions pénales et la réparation de préjudices au civil ;

7. Les sanctions applicables

Depuis l’entrée en vigueur du RGPD, le législateur français a adopté au sein du droit national des mesures efficaces, proportionnées et dissuasives faisant suite au renforcement de l’ensemble des sanctions administratives et pénales, s’appliquant en cas de violation du Règlement, tel que prévu l’article 84 de ce dernier.

7.1. Sanctions administratives

En ce sens, la Commission nationale de l’informatique et des libertés, CNIL, a posé une gradation des sanctions administratives pouvant aller jusqu’à une sanction à hauteur de 20 millions d’euros ou bien 4 % du chiffre d’affaires annuel mondial.

7.2. Sanctions pénales

Aussi, la loi pénale vient encadrer le traitement des données à caractère personnel pour permettre de sanctionner efficacement les usages excessifs, illégaux ou bien encore injustifiés. Le nouvel article 226-22-1 du Code pénal, introduit par la dernière réforme de la loi informatique et libertés, vient réprimer un transfert de données à caractère personnel vers un État tiers à l’Union européenne qui ne bénéficierait pas d’une décision d’adéquation de la part de la Commission européenne, de garanties appropriées y compris des règles d’entreprise contraignantes ou bien encore d’une des dérogations prévues à l’article 49 du RGPD. Ainsi, il faut bien retenir qu’un tel comportement est puni d’une peine maximum de cinq ans d’emprisonnement et de 300 000 euros d’amende.

7.3. Responsabilité civile

De plus, toute personne ayant subi un préjudice peut en demander réparation au tribunal compétent, pouvant amener à une sanction financière à l’encontre du responsable du transfert illicite, tel que prévu par l’article 82 du Règlement.

8. Et après ?

En ce qui concerne les transferts vers les USA et ce malgré l’urgence de la situation et l’insuffisance des outils juridiques permettant de transférer les données personnelles vers les États-Unis en toute sécurité, un nouvel accord entre l’Union européenne et les États-Unis semble totalement inenvisageable, pour l’heure et au regard de l’aspect stratégique des lois à portées extraterritoriales de surveillance FISA702 et EO12333.

Pour cause, les États-Unis ne semblent pas vouloir modifier les règles relatives à la surveillance de masse sur les données personnelles, il est fortement probable que le gouvernement étasunien ne se prononce même pas sur l’accès de ses services de renseignements aux données personnelles.

Aussi, les autorités européennes sont engagées, bon an mal an, sur la relocalisation à grande échelle de leurs données sur le sol Européen ainsi que la relocalisation intégrale des services liés (Ordonnance n°444937 du Conseil d’État) relocalisation dont devraient s’inspirer l’ensemble des acteurs des données à caractère personnel, privés comme publics, et ce d’autant plus que les données traitées sont sensibles.

Crédits photographiques : openDemocracy