Fin du Safe Harbor : quel avenir pour les flux de données vers les États-Unis ? (tribune)

L’invalidation du Safe Harbor, qui simplifiait les transferts de données personnelles entre l’UE et les Etats-Unis, est un défi pour les prestataires américains mais aussi les entreprises européennes. L’analyse des conséquences de cette décision par l’avocat François Coupez.

Le 6 octobre 2015, la Cour de Justice de l’Union Européenne a rendu une décision que l’on peut qualifier d’historique en matière de réglementation des données à caractère personnel.

Mais pour la comprendre, et en saisir l’intérêt, tout autant que les répercussions prévisibles, un petit retour de vingt ans en arrière s’avère nécessaire…

1995 : une interdiction de principe

La directive européenne 1995/46 du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, comme son titre le laisse supposer, a imposé ce principe fort de libre circulation au sein de l’Union européenne. Cette directive avait en effet pour objectif de coordonner les « législations des États membres pour que le flux transfrontalier de données à caractère personnel soit réglementé d’une manière cohérente et conforme à l’objectif du marché intérieur » (selon le considérant 8 de cette directive) tout en garantissant « un niveau élevé de protection dans la Communauté » (considérant 10).

Mais le corollaire indispensable de ce principe de libre circulation était de considérer que, pour les flux de données à destination d’un pays tiers extérieur à l’Union européenne, le transfert devait être « interdit » lorsque ce « pays tiers n’offre pas un niveau de protection adéquat » (considérant 57), sous peine de sanctions (pénales, risques d’amende, atteinte à l’image du fait de la publication de la sanction, etc.). Précisons que les transferts sont possibles vers l’Islande, le Liechtenstein et la Norvège, ces trois pays ayant transposé les dispositions de la directive 95/46/CE dans leur législation nationale (en tant que membres de l’Espace économique européen).

Ces flux mondiaux étant pourtant nécessaires au commerce international, des exceptions ont été prévues, mais au nombre très restreint et s’entendant de façon stricte. Ainsi, les groupes d’entreprises peuvent établir :

  • des « Binding Corporate Rules » internes (BCR), validées par les régulateurs nationaux en la matière pour échanger les données entre elles (données RH, etc.) ;
  • ou utiliser des « clauses contractuelles types » élaborées par la Commission européenne pour garantir, par contrat, le même niveau de protection que celui offert par la directive telle que transposée dans les législations de chacun des pays de l’Union européenne ;
  • ou encore bénéficier en France des strictes exceptions listées à l’article 69 de la loi Informatique et Libertés du 6 janvier 1978 modifiée, soit en pratique essentiellement par le biais d’une autorisation spécifique de la CNIL.

Les flux peuvent également être autorisés vers les États dont les législations posent des principes similaires de protection. La Commission a ainsi eu la possibilité de prendre une décision, reconnaissant, après analyse précise de la législation du pays tiers, que celui-ci bénéficie effectivement d’un niveau de protection « adéquat ». Il n’en reste pas moins que la liste des pays concernés est, encore aujourd’hui, extrêmement réduite : Andorre, Argentine, Canada (mais suivant le type de données), Iles Féroé, Ile de Man, Guernesey, Jersey, Israël, Uruguay et Suisse.

Dans ce cadre, il était évident que le principe allait se confronter très vite au principe de réalité concernant le cas spécifique – mais très majoritaire – des flux de données à caractère personnel vers les États-Unis. Ainsi, le département du Commerce américain et la Commission ont-ils entamé des discussions pour permettre aisément ces flux dès 1998.

Malgré l’opposition du Parlement européen qui considérait l’accord comme insuffisant en matière de garantie apportée à la protection des données concernées, ces négociations ont finalement abouti à l’adoption de la décision n°520/2000/CE du 26 juillet 2000, créant une « sphère de sécurité », également « Safe Harbor ».

Un Safe Harbor et tout est différent ?

Ce Safe Harbor a été conçu comme un mécanisme de certification purement volontaire, d’une année, renouvelable, bénéficiant aux entreprises américaines. Celles-ci, en l’échange de l’engagement du respect de sept principes (information des personnes concernées, refus possible de communication des données à des tiers, transferts ultérieurs limités, sécurité, pertinence des données par rapport à la finalité, droit d’accès et audit de conformité) pouvaient dorénavant accueillir dans la plus grande simplicité les données à caractère personnel venues d’Europe.

Ce mécanisme concerne actuellement plus de 4 000 entreprises américaines, étant entendu que certains secteurs d’activité en restent totalement exclus, tels que le secteur financier. Ainsi, seules les entreprises régulées par la « Federal Trade Commission (FTC) » ou du « Department of Transportation (DOT) » peuvent en bénéficier.

En pratique, toutefois, chaque entreprise s’étant sérieusement posé la question de la protection des données à caractère personnel pouvait nourrir des doutes légitimes sur la protection offerte par ce Safe Harbor, notamment du fait que les entreprises américaines concernées pouvaient déterminer elles-mêmes la portée de leur certification. D’ailleurs, si elles en faisaient des arguments commerciaux pour l’obtention de marchés (sous-traitance, etc.), les négociations concernant le détail de la protection des données personnelles, quand elles avaient lieu, pouvaient s’avérer plus compliquées. Ainsi, nombre d’entre elles n’intégraient souvent que difficilement, dans le contrat de prestation les clauses contractuelles se contentant de reprendre les obligations prises au nom du Safe Harbor. À tort ou à raison, force était de constater que le Safe Harbor n’était, pour certaines de ces entreprises, ni forcément « mandatory », ni appelé à s’inscrire dans la durée (le cadre de la certification et la durée de celle-ci pouvant n’être que limités, comme indiqué).

Comme une CJUE dans un jeu de quilles

L’arrêt qui vient d‘être rendu par la Cour de Justice de l’Union Européenne vient perturber gravement toute cette mécanique. Nous renvoyons le lecteur intéressé par les détails de l’affaire (qui nécessiterait à elle seule une autre chronique pour être décrite) aux documents officiels concernant l’affaire, aux articles consacrés à cette question ainsi qu’au communiqué de presse de la Cour. Contentons-nous de rappeler qu’à la suite de révélations d’Edward Snowden, et d’une action contre Facebook émanant de Maximilian Schrems, l’autorité de protection des données irlandaise saisie par ce dernier a dû s’interroger sur la portée de la décision du 26 juillet 2000 : pouvait-elle enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat (et, le cas échéant, suspendre le transfert de données contesté), ou était-elle tenue par la décision de la Commission ? Suite à une question préjudicielle de la High Court of Ireland saisie après que l’autorité ait finalement refusé d’enquêter, la CJUE donne une tout autre interprétation.

Non seulement, les autorités nationales « doivent pouvoir examiner en toute indépendance si le transfert des données d’une personne vers un pays tiers respecte les exigences posées par la directive », mais surtout, « c’est en dernier lieu à la Cour que revient la tâche de décider si une décision de la Commission est valide ou non ». S’étant saisie de cette question et ayant vérifié la validité de la décision à la suite des révélations de l’ancien espion américain, la Cour déclare la décision de la Commission du 26 juillet 2000 invalide, supprimant de facto le Safe Harbor.

Et maintenant ?

A la suite de cette décision, les flux vers les Etats-Unis ne sont plus considérés comme réalisés vers un pays offrant une « protection adéquate des données personnelles ». Que reste-t-il alors comme solution pour effectuer ces transferts, ceux-ci étant dorénavant illicites et théoriquement susceptibles de sanction ? Car il serait faux de penser que seuls les acteurs américains sont impactés, toutes les sociétés européennes leur envoyant des données l’étant tout autant, voire plus. C’est en effet sur elles que reposent en grande partie les obligations réglementaires.

Certes, l’autorisation de la CNIL reste un moyen envisageable, mais la voie promet d’être compliquée… par l’afflux prévisible de dossiers urgents ayant le même objet. Quant aux clauses contractuelles types, si elles paraissent a priori le moyen le plus rapide, elles nécessitent toutefois le visa de la CNIL en plus de la renégociation et de l’intégration dans le contrat d’obligations strictes. Une relocalisation physique des traitements de données en Europe (hébergement, etc.), solution théoriquement encore plus satisfaisante pour la protection des données, paraît compliquée à mettre en œuvre, rapidement et à grande échelle (sans parler de la question de son intérêt technique). Une solution politique beaucoup plus globale pourrait être la négociation d’un Safe Harbor 2 au plan européen, mais l’adoption très probable d’ici la fin de l’année du Règlement européen sur la protection des données, plus protecteur et surtout s’appliquant de facto aux acteurs de l’Internet américain, pourrait en limiter la nécessité à moyen terme (le règlement ne s’appliquant pas avant deux ans).

Gageons plutôt qu’une solution plus globale et opérationnelle pourrait venir de la CNIL et des régulateurs nationaux de chaque pays européen, qui se (re ?)trouvent au centre du jeu, confortés dans leurs pouvoirs par cette décision. Directement confrontés à l’afflux prévisible de demandes d’autorisation, ils peuvent, par exemple, trouver les clés de solutions plus ou moins immédiates par le biais du mécanisme des autorisations uniques. En fixant des lignes de conduite, éventuellement sectorielles ou par type de traitements effectués, assorties d’un cadre strict auquel client et prestataire doivent se tenir, elles pourraient contribuer à créer un niveau de protection des données finalement supérieur à celui que permettait l’ex-« sphère de sécurité ».

Quelles que soient les solutions retenues, le contrat (intégrant des clauses ad hoc) redevient également l’élément fondamental qu’il ne doit pas cesser d’être : les sociétés qui n’avaient pas été impressionnées par l’existence de la sphère de sécurité et avaient tenu à contractualiser clairement des engagements forts de leurs prestataires américains voient aujourd’hui leur stratégie pleinement valorisée. Elles se retrouvent dans une situation relativement enviable où l’obtention d’une autorisation ne devient presque plus qu’une simple… formalité.

Francois Coupez

Par François Coupez, Avocat à la Cour, Associé du cabinet ATIPIC Avocat et titulaire du certificat de spécialisation en droit des nouvelles technologies. L’auteur tient particulièrement à remercier Mlle Aurore Bonavia pour ses apports lors de la rédaction cet article.

A lire aussi, les précédentes tribunes de F. Coupez :

Protection des données personnelles : une loi de plus en plus instrumentalisée

Protection des données personnelles et Big Data : inconciliables, vraiment ?