Par David GRANEL et Flavia CALOPRISCO
Le Parlement UE a demandé à la Commission UE de suspendre l’accord avec les Etats-Unis qui permet le transfert des données vers les sociétés américaines inscrites au Privacy Shield (suite au scandale Cambridge Analytica).
Le Privacy Shield, entré en vigueur il y a plus de 2 ans, qui définit la manière dont les données à caractère personnel doivent circuler entre les États-Unis et l’Europe, est remis en cause et est menacé de suspension par des députés européens qui reprochent son non-respect outre-Atlantique.
1/ La genèse du Privacy Shield, un palliatif au Safe Harbor
En adoptant une résolution[1] demandant la suspension du Privacy Shield, les députés européens entendent exiger une nouvelle fois la mise en conformité des Etats-Unis avec le droit européen, s’il n’est pas respecté au 1er septembre prochain. Il s’agit avant tout d’un acte politique. En effet, seule la Commission européenne peut suspendre le Privacy Shield et seule la Cour de justice de l’Union européenne peut se prononcer sur son invalidité.
Le Privacy Shield est un accord commercial régissant le transfert de données entre les États-Unis et l’Europe, qui tarde à être déployé aux conditions prévues outre-Atlantique. En conséquence, certains transferts et stockages de données intercontinentaux sont rendus extrêmement complexes d’un point de vue légal, quand ils ne sont pas tout bonnement bloqués.
A l‘origine, le Privacy Shield est la version améliorée du précédent accord nommé Safe Harbor, passé en 2000 et remis en cause par la décision « Shrems » du 6 octobre 2015 de la Cour de justice de l’Union européenne. En effet, dans le sillage tracé par les révélations de l’affaire Snowden, elle avait estimé que la situation aux États-Unis, conjuguée à la légèreté du contrôle de la Commission européenne, ne permettait pas de considérer la législation de ce pays comme garantissant une protection « adéquate » des données personnelles des européens. La Cour de Justice a précisé qu’un niveau de protection « adéquat » dans un pays tiers s’entend comme « substantiellement équivalent» à la protection garantie dans l’Union Européenne. L’Union européenne a donc essayé d’imposer son standard de protection aux Etats-Unis.
Les transferts de données à caractère personnel entre l’UE et des entreprises installées aux États-Unis constituent un élément stratégique des relations transatlantiques, au vu de la numérisation toujours croissante de l’économie mondiale. Il convient que ces transferts soient menés dans le strict respect du droit à la protection des données à caractère personnel et du droit au respect de la vie privée, devenu une priorité grâce à l’entrée en vigueur du RGPD. Il s’agit d’un des objectifs fondamentaux de l’Union.
La résolution des parlementaires européens fait état d’un certain nombre d’inquiétudes concernant à la fois les aspects commerciaux et l’accès des autorités publiques américaines aux données transférées depuis l’Union, comme l’absence de règles spécifiques sur les décisions automatisées et d’un droit général de s’opposer, le besoin de garanties plus strictes sur l’indépendance et les pouvoirs du médiateur, ou le manque d’assurances concrètes sur l’absence de collecte massive et indifférenciée des données à caractère personnel (collecte de masse);
2/ Les enjeux économiques et sécuritaires
Facebook Inc., Cambridge Analytica and SCL Elections Ltd sont des entreprises certifiées dans le cadre du bouclier de protection des données et en tant que telles, elles ont bénéficié de la décision d’ « adéquation » comme base juridique pour le transfert, en vue du traitement ultérieur, de données à caractère personnel de l’Union européenne vers les États-Unis. Cependant, Facebook, bien que signataire du bouclier de protection des données, a confirmé que les données de 2,7 millions de citoyens de l’Union Européenne figuraient parmi les données utilisées de manière abusive par le consultant politique Cambridge Analytica. De plus, l’approbation du Cloud Act aux Etats-Unis en mars dernier a étendu la territorialité des lois américaines au-delà de ses frontières sans passer par l’entraide judiciaire. La résolution du Parlement européen s’inscrit donc dans une démarche de « bras de fer » avec les Etats-Unis.
A l’heure de la mise en application du RGPD, Facebook vient de modifier ses conditions générales d’utilisation. Une des conséquences de la révision des conditions d’utilisation de Facebook pour les utilisateurs de pays tiers résidant hors des États-Unis et du Canada, qui ont jusqu’à présent bénéficié des droits octroyés par la législation européenne sur la protection des données, est qu’ils doivent désormais accepter que le responsable du traitement des données ne soit plus Facebook Irlande mais Facebook États-Unis. Cette pratique constitue un transfert de données à caractère personnel d’environ 1,5 milliard d’utilisateurs vers un pays tiers.
Cette pratique constitue selon les eurodéputés une « limitation à grande échelle et sans précédent des droits fondamentaux des utilisateurs d’une plate-forme, de fait monopolistique » et ne semble pas correspondre au but recherché par le bouclier de protection des données. De plus, le RGPD s’applique aux entreprises installées dans l’Union européenne mais également au traitement des données à caractère personnel relatives à des personnes qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées à l’offre de biens ou de services ou au suivi du comportement de ces personnes.
3/ La protection des données et de la vie privée, un droit fondamental
La protection des données et de la vie privée occupe une place particulière au sein de l’Union européenne. Il s’agit de droits fondamentaux juridiquement contraignants, consacrés par les Traités, par l’article 7 et 8 de la Charte des droits fondamentaux et par la Convention européenne des droits de l’homme, ainsi que par la jurisprudence.
A l’heure actuelle, l’accord et la mise en œuvre du Privacy Shield n’offrent pas le niveau de protection « adéquat » requis par le droit de l’Union Européenne et voulu par le législateur en matière de protection des données et par la Charte des droits fondamentaux de l’Union européenne, telle qu’interprétée par la Cour de justice de l’Union européenne.
Les parlementaires européens estiment que la Commission n’a pas agi conformément à l’article 45, paragraphe 5, du RGPD[2], à moins que les États-Unis ne se conforment pleinement à leurs obligations d’ici au 1er septembre 2018, demandent par conséquent à la Commission de suspendre le bouclier de protection des données jusqu’à ce que les autorités américaines se conforment aux dispositions de l’accord.
L’affaire reste à suivre et le « conflit transatlantique » est loin d’être épuisé.
[1] http://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/RE/2018/06-11/1149002EN.pdf
[2] Au titre de l’article 45 § 5 du RGPD : Lorsque les informations disponibles révèlent, [ …], qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale n’assure plus un niveau de protection adéquat[…], la Commission si nécessaire, abroge, modifie ou suspend la décision visée au paragraphe 3 du présent article par voie d’actes d’exécution sans effet rétroactif. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2
