L’avènement du « Privacy Shield » et les interrogations qu’il suscite

L’invalidation du Safe Harbour par la CJUE, aux termes de son arrêt du 6 octobre 2015 [1] , a suscité la conclusion d’un nouvel accord qui régit la protection des données personnelles des consommateurs européens transmises aux États-Unis. Cet accord, dénommé Privacy Shield ou « bouclier de protection des données », a été approuvé par la Commission européenne aux termes de sa décision 2016/1250 du 12 juillet 2016 [2] et doit apporter une réponse aux griefs formulés à l’encontre du Safe Harbour. Ceux-ci tenaient au niveau de protection des données qui, d’après la CJUE, n’était pas substantiellement équivalent à celui garanti au sein de l’Union européenne. Les facteurs incriminés étaient multiples :

• le Safe Harbour s’appliquait aux organisations auto-certifiées aux États-Unis sans que les autorités américaines soient tenues par ce dispositif ;
• les exigences relatives à la sécurité nationale, l’intérêt public et le respect des lois des États-Unis primaient sur les principes du Safe Harbour ;
• seules les informations dites sensibles étaient visées par le Safe Harbour, et encore fallait-il que l’ingérence dans le droit fondamental au respect de la vie privée constitue un inconvénient pour les intéressés ;
• une protection juridique efficace était absente, en particulier au regard des ingérences résultant de mesures étatiques. L’arbitrage privé et les procédures devant la Commission fédérale du commerce sont en effet limités aux litiges commerciaux ;
• une dérogation à la protection des données personnelles doit s’opérer dans les limites du strict nécessaire. Or l’absence de critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation à des fins précises, strictement restreintes, ne permettait pas de remplir cette condition.

La CJUE, dans sa décision du 6 octobre 2015, a aussi considéré que l’autorité de contrôle nationale n’est pas liée par la qualification contenue dans la décision de la Commission européenne ayant validé le Safe Harbour. Il lui appartient de se prononcer sur la demande qui lui est faite quant au caractère adéquat de la protection des données. Soit cette demande est sans fondement et le demandeur peut exercer un recours devant les juridictions nationales ; soit au contraire la demande est justifiée et l’autorité de contrôle doit faire valoir ses griefs devant les juridictions nationales. En tout état de cause, celles-ci ont la possibilité d’effectuer un renvoi préjudiciel auprès de la CJUE.

Il appartiendra donc à une autorité nationale de protection des données qui serait saisie d’une réclamation, de l’instruire afin d’identifier si les avancées faites aux termes du Privacy Shield en matière de protection des données personnelles sont suffisantes.

I. Les avancées du Privacy Shield

Une auto-certification auprès du ministère américain du commerce

Le Privacy Shield, tout comme le Safe Harbor, repose sur un système d’auto-certification. Cet accord s’applique aux organisations situées aux États-Unis qui ont auto-certifié auprès du ministère du commerce américain leur adhésion aux principes du Privacy Shield visés à l’annexe II de la décision 2016/1250. Les données personnelles transmises à partir de l’Union européenne à une organisation américaine ayant adhéré aux principes du Privacy Shield sont ainsi protégées, étant précisé que ce bouclier s’applique tant aux responsables de traitement qu’aux sous-traitants qui doivent être liés contractuellement aux premiers [3] . Un sous-traitant, qu’il se situe aux États-Unis ou ailleurs, doit ainsi garantir le même niveau de protection des données personnelles que celui assuré par le bouclier.

Ce dispositif sera géré et contrôlé par le ministère du Commerce américain, conformément aux engagements pris par le secrétaire d’État au commerce [4] , les modalités d’application du Privacy Shield par la commission fédérale du commerce des États-Unis (Federal Trade Commission) et le ministère américain des transports étant précisées respectivement aux annexes IV [5] et V [6] de la décision 2016/1250.

Les principes de protection de la vie privée

Ces principes marquent une amélioration de la protection des données des citoyens européens. Ils sont visés à l’article 2.1 de la décision.

Le principe de « notification »

Les organisations doivent fournir aux personnes concernées des informations quant au traitement de leurs données (notamment le type de données, la finalité du traitement, le droit d’accès et de choix, les conditions applicables aux transferts ultérieurs).

Le principe « intégrité des données et limitation des finalités »

Les données à caractère personnel doivent se limiter à ce qui est pertinent aux fins du traitement et être fiables au regard de l’utilisation prévue, exactes, exhaustives et actuelles. Le traitement des données ne doit pas être incompatible avec la finalité pour laquelle elles ont été initialement collectées et, en cas de finalité différente mais pas incompatible, le principe « choix » permet aux personnes concernées de s’opposer au traitement. En tout état de cause, la conservation des données à caractère personnel ne peut être effectuée qu’aussi longtemps que leur utilisation reste conforme à cette finalité.

Le principe « sécurité »

Des mesures de sécurité « raisonnables et adéquates » sont requises, les sous-traitants devant être tenus contractuellement d’assurer le même niveau de protection.

Le principe « accès »

Les personnes concernées doivent pouvoir corriger, modifier ou supprimer les informations à caractère personnel si elles sont inexactes ou traitées en violation des principes de Privacy Shield. Dans la mesure où le recours au traitement automatisé de données est de plus en plus fréquent, la décision 2016/1250 précise que ce domaine doit faire l’objet d’une étroite surveillance et d’un dialogue dans le cadre du premier examen annuel de l’application du Privacy Shield ainsi que le cas échéant des examens ultérieurs.

Le principe « voies de recours, application et responsabilité »

Les organisations ayant adhéré aux principes du Privacy Shield doivent chaque année recertifier leur participation au bouclier et s’assurer de la mise en œuvre de ces principes. À cet effet, soit elles mettent en place un système d’auto-évaluation comprenant des procédures internes en matière de formation des salariés et de contrôle de la bonne application de ces principes, soit elles organisent un contrôle extérieur fondé sur des audits ou des vérifications aléatoires. Les réclamations doivent aussi être traitées (VOIR CI-APRÈS) et chaque organisation est soumise aux pouvoirs d’enquête et d’exécution de la « Federal Trade Commission » ou du ministère du transport américain.

Le principe « responsabilité en cas de transfert ultérieur »

Tout transfert ultérieur de données personnelles ne peut être effectué qu’à des fins limitées et spécifiques, sur la base d’un contrat ou d’un « dispositif comparable » en cas de transfert intragroupe permettant un niveau de protection identique à celui du bouclier. L’application des principes de protection de la vie privée ne peut être limitée que dans la mesure nécessaire à la sécurité nationale, au respect de la loi ou à d’autres intérêts publics [7] . Ces règles doivent cependant être lues en liaison avec le principe « notification » qui suppose que les personnes concernées soient informées du traitement.

La transparence dans la gestion du Privacy Shield

Le ministère américain du commerce s’est engagé à tenir et à rendre publique sur un site web dédié une liste des organisations ayant auto-certifié leur adhésion aux principes du Privacy Shield [8] . Cette liste sera actualisée en fonction des recertifications annuelles et lorsqu’une organisation se retire ou est radiée du bouclier. Un registre officiel des organisations qui ont été radiées, avec les raisons de la radiation, sera rendu public par le ministère du commerce.

Les mécanismes de recours

Ils sont visés à l’article 2.3 de la décision. Plusieurs possibilités sont offertes aux personnes qui souhaitent effectuer une réclamation.

Une première possibilité consiste à s’adresser à l’organisation américaine auto-certifiée. Celle-ci doit fournir, dans un délai de 45 jours, une réponse comprenant une appréciation du bien-fondé de la réclamation et le cas échéant des informations quant à la résolution du problème.

Une deuxième possibilité tient à l’exercice d’un recours devant une autorité indépendante qui peut relever de l’ADR (Alternative Dispute Resolution), ou une autorité nationale de protection des données. Les organisations américaines sont tenues de coopérer à l’enquête menée par cette autorité et le fait que la réclamation puisse être faite dans la langue de la personne concernée en facilite l’exercice.

La réclamation peut aussi être effectuée auprès du ministère américain du commerce, mais uniquement par l’intermédiaire d’une autorité nationale de protection des données.

De même, la « Federal Trade Commission » peut être saisie par les organismes de règlement des litiges indépendants, les organismes d’autoréglementation, le ministère du commerce ou les autorités nationales de protection des données agissant de leur propre initiative ou suite à une réclamation.

En dernier ressort, si aucune des autres voies de recours n’a permis de traiter de façon définitive la réclamation, celle-ci peut faire l’objet d’un arbitrage contraignant par le « panel du bouclier de protection des données ». Ce panel sera composé d’au moins vingt arbitres désignés par le ministère du commerce et la Commission européenne.

Par ailleurs, la violation par une organisation de ses engagements aux termes du Privacy Shield peut éventuellement faire l’objet d’un recours devant les juridictions étatiques américaines, en vertu de la législation de ces états sur le fondement de la responsabilité délictuelle, dans les cas de dol, de pratiques déloyales ou frauduleuses ou de rupture de contrat.

Le contrôle de l’accès par les autorités publiques américaines aux données personnelles transférées dans le cadre du Privacy Shield

Le cadre juridique aux États-Unis de l’utilisation des données personnelles à des fins de sécurité nationale a été renforcé par le décret présidentiel n° 12333 [9] et la directive stratégique présidentielle n° 28 (PPD 28) [10] . Aux termes de la PPD 28, la collecte en vrac de renseignements d’origine électromagnétique aura lieu seulement si la collecte ciblée au moyen de discriminants n’est pas possible « pour des raisons techniques ou opérationnelles ». Cette collecte en vrac sera alors réduite « autant que possible » et ne pourra être effectuée que pour un motif de protection de la sécurité nationale. Ces motifs sont au nombre de six, à savoir la neutralisation des menaces liées à l’espionnage, au terrorisme et aux armes de destruction massive, les menaces pour la cybersécurité, contre les forces armées, et les menaces criminelles transnationales liées aux cinq autres motifs.

D’après la Commission européenne, cette pratique répondrait à l’exigence posée dans l’arrêt de la CJUE du 6 octobre 2015 selon laquelle une dérogation à la protection des données personnelles doit s’opérer dans les limites du strict nécessaire [11] .

Des recours individuels sont ouverts aux personnes de l’Union européenne qui voudraient s’assurer que les limitations en vigueur en droit américain pour le traitement des données personnelles sont bien respectées. Le Judicial Redress Act a ainsi été adopté en février 2016. Il permet l’exercice de recours juridictionnels aux États-Unis, par des citoyens de l’Union européenne, sur le fondement du Privacy Act de 1974. Le gouvernement américain a communiqué à la Commission européenne des voies de recours dans trois domaines [12] : dans le cadre de la FISA (loi sur la surveillance et le renseignement étranger), au regard de modalités d’accès spécifiques aux données [13] , et en vertu du FOIA (loi sur la liberté de l’information). Cependant, l’effectivité de ces recours a été jugée discutable et un nouveau mécanisme de médiation a été mis en place [14] . Il repose sur la nomination, en vertu de la PPD 28, d’un point de contact au département d’État pour les gouvernements étrangers concernant les activités américaines de renseignement d’origine électromagnétique, et sur la désignation d’un médiateur du bouclier de protection des données indépendant des services de renseignement américains. La sous-secrétaire d’État Catherine A. Novelli a été nommée à ces positions.

Les réclamations individuelles sont adressées aux autorités de contrôle chargées, dans les États membres, de la surveillance des services de sécurité nationale et/ou du traitement des données personnelles. Ces autorités pourront présenteront les réclamations à un organisme européen centralisé qui les réorientera vers le médiateur.

Le réexamen périodique de la constatation du niveau adéquat de la protection des données

Les États-Unis se sont engagés à informer la Commission européenne de toute évolution importante de la législation américaine susceptible d’influer sur le dispositif du Privacy Shield, en particulier concernant l’accès par les autorités publiques aux données personnelles des citoyens.

En outre, un réexamen conjoint annuel du dispositif du bouclier de protection des données sera mené. Tous les aspects de son fonctionnement seront revus chaque année.

II. Les insuffisances du Privacy Shield

Les insuffisances du Privacy Shield, ou les inquiétudes que son application peut susciter, ont été mises en exergue en particulier par le G29 [15] dans son avis du 13 avril 2016. Des réserves ont également été exprimées par différents auteurs [16] . Elles sont importantes :

• la valeur normative du Privacy Shield suscite des interrogations dans la mesure où les renvois aux annexes sont essentiels et plusieurs d’entre elles sont des lettres d’engagement de responsables d’une administration présidentielle en fin de mandat ;
• la collecte en vrac de renseignements d’origine électromagnétique par les services américains de sécurité nationale n’est pas prohibée et il est possible de s’interroger sur le point de savoir si cette collecte sera faite dans les limites du strict nécessaire conformément aux engagements pris ;
• si le médiateur du bouclier de protection des données est bien indépendant des services de renseignement américains, il rapporte au secrétaire d’État et son indépendance est donc relative ;
• les entreprises de télécommunication et les fournisseurs d’accès à internet sont exclus du champ d’application du Privacy Shield dans la mesure où ils dépendent de la Commission fédérale pour la communication (« FCC ») et non pas de la FTC. Or, les activités de communications et celles liées aux contenus numériques tendent à converger. Des domaines entiers du traitement de données personnelles pourraient ainsi ne pas être protégés ;
• le Privacy Shield vise les principes de protection de la directive 95/46/CE alors même que le règlement 2016/679/UE du 27 avril 2016 entrera en vigueur en mai 2018 et prévoit un niveau d’exigence supérieur pour la protection des données. Il aurait été préférable d’anticiper cette évolution.

Au final, si le Privacy Shield présente des avancées intéressantes au regard de la protection des données des citoyens de l’Union européenne qui sont transférées aux États-Unis, des incertitudes demeurent. La première revue annuelle de l’application de cet accord sera par conséquent déterminante pour s’assurer de la solidité de la protection ainsi offerte.