A l’occasion d’un litige opposant Facebook à un citoyen autrichien, la Cour de Justice de l’Union Européenne (CJUE) a invalidé, le 6 octobre 2015, le Safe Harbor.

Cet accord régissait jusqu’ici le transfert des données personnelles entre l’Union Européenne et les Etats-Unis. La décision de la CJUE est susceptible d’avoir un impact immédiat sur les stratégies et les usages en matière de transfert de données des entreprises européennes et américaines.

 

Le Safe Harbor, qu’est-ce que c’est ?

Les règles du droit européen, et spécialement, la directive 95/46/CE du 24 octobre 1995[1] relative à la protection des données, interdisent les transferts de données à caractère personnel hors du territoire de l’Union Européenne vers des pays tiers, sauf si lesdits pays tiers assurent un niveau de protection suffisant des données.

La Commission Européenne dispose de la compétence, en vertu de cette directive, pour constater si un pays tiers assure un niveau de protection adéquat du fait du contenu de sa législation interne ou de ses engagements internationaux.

C’est dans ce cadre qu’un accord a été signé entre la Communauté Européenne et les Etats-Unis le 26 juillet 2000[2].

Cet accord dit de « Safe Harbor » (« Sphère de Sécurité ») constitue un ensemble de règles de protection des données personnelles, publié par le Département du commerce américain, auquel les entreprises américaines adhèrent sur la base du volontariat et de l’auto-certification. Environ 4000 entreprises en sont adhérentes à ce jour.

Il a pour objectif de leur permettre de recevoir des données à caractère personnel en provenance de l’Union Européenne sans autorisation préalable d’une autorité européenne de contrôle de protection des données personnelles - en France, la CNIL.

Ces principes sont basés sur ceux de la directive 95/46/CE du 24 octobre 1995 :

l’information des personnes,la possibilité accordée à la personne concernée de s’opposer à un transfert ou à une utilisation des données pour des finalités différentes,le consentement explicite pour les données sensibles,un droit d’accès et de rectification,et la sécurité des données.

 

Quelles opérations de transfert sont concernées ?

Sont concernés les transferts de données personnelles (adresse IP, identité des utilisateurs, données de localisation, photographies…) de l’Union Européenne vers les Etats-Unis, mais aussi les transferts virtuels de ces données qui pourraient être effectués depuis une base de données située en Europe vers un serveur localisé aux Etats-Unis, grâce à un accès à distance.

Cela signifie qu’une entreprise européenne sera concernée si elle fait héberger des données par un prestataire dont les serveurs sont localisés hors du territoire européen.

Ces questions concernent les transferts de données personnelles entre professionnels mais également les transferts intervenant entre un professionnel et un non-professionnel.

Sont notamment visés, ici, les transferts opérés par les « GAFA » (Google, Amazon, Facebook et Apple) vers les Etats-Unis.

 

Les prémices de cette décision : l’affaire Schrems / Facebook

La CJUE s’est prononcée sur la validité du Safe Harbor à l’occasion d’une question préjudicielle posée par la Haute Cour de Justice irlandaise. Les juridictions irlandaises étaient, en effet, amenées à statuer sur la demande d’un citoyen autrichien, Max Schrems, utilisateur de Facebook, qui s’opposait à ce que ses données personnelles soient transférées par Facebook Ireland vers les serveurs de sa société-mère aux Etats-Unis et à ce qu’elles soient conservées ensuite sur lesdits serveurs.

Max Schrems invoquait l’absence de protection réelle des données conservées sur le territoire américain et les risques de transferts massifs et indifférenciés aux services de renseignements américains, notamment la NSA, révélés à l’occasion de l’affaire Snowden.

L’autorité de protection des données irlandaise lui a opposé l’existence du Safe Harbor auquel Facebook avait adhéré, en indiquant que cet accord offrait un niveau de protection adéquat et qu’il s’imposait à elle.

 

In your ace…

Saisie d’une question préjudicielle par les juges irlandais, la CJUE a réaffirmé le principe selon lequel les autorités nationales de protection des données des Etats membres étaient compétentes pour apprécier si un transfert de données était conforme à la législation européenne.

Elle a aussi invalidé le système du Safe Harbor en considérant que :

- La Commission était tenue de constater que les Etats-Unis assurent effectivement, en raison de leur législation interne ou de leurs engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union. Or, la CJUE a relevé que la Commission n’avait pas opéré un tel constat, car elle s’était bornée à examiner le régime de la sphère de sécurité instauré par le Safe Harbor applicable aux seules entreprises américaines qui y souscrivent, et sans que les autorités publiques des Etats-Unis n’y soient elles-mêmes soumises.

- Ces mêmes entreprises sont tenues d’écarter les règles de protection du Safe Harbor pour faire prévaloir les exigences de la sécurité nationale des Etats-Unis. Ce faisant, le Safe Harbor rend ainsi, de manière généralisée, possibles des accès au contenu des communications électroniques par les autorités publiques américaines, ce qui porte atteinte au droit au respect de la vie privée.

- La règlementation américaine ne prévoit aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données aux Etats-Unis, ce qui constitue une atteinte au droit fondamental à une protection juridictionnelle effective.

 

Quels sont les risques pour les entreprises, aujourd’hui ?

Les transferts de données d’ores et déjà opérés sur la seule base du Safe Harbor ne sont a priori pas remis en cause pour le passé.

En revanche, désormais, les entreprises opérant des transferts de données sur le territoire américain ne peuvent, en théorie, plus importer les données des citoyens européens sur le fondement de ce seul accord.

A défaut, elles risqueraient des poursuites pénales sur le fondement de l’article 226-22-1 du Code Pénal selon lequel :

« Le fait, hors les cas prévus par la loi, de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l'objet ou destinées à faire l'objet d'un traitement vers un Etat n'appartenant pas à la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes ou par la Commission nationale de l'informatique et des libertés mentionnées à l'article 70 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. »

Les personnes concernées par un transfert effectué sur la base du seul Safe Harbor pourraient parfaitement aussi saisir, en France, la CNIL, et en Europe, toute autorité de contrôle, pour solliciter la suspension des flux de données concernés vers les Etats-Unis.

 

Et maintenant, que doivent-faire les entreprises ?

La première mesure qu’une entreprise doit prendre aujourd’hui est évidemment d’évaluer son risque d’exposition à des poursuites pénales ou à une éventuelle demande de suspension des flux.

Pour ce faire, elle doit donc identifier non seulement les flux de données vers des pays tiers à l’Union Européenne, et spécialement vers les Etats-Unis, mais aussi examiner le fondement juridique des flux en cours.

C’est donc à un audit des contrats signés avec des prestataires et à un audit des processus internes que doit se livrer toute entreprise pour vérifier rapidement où sont hébergées les données personnelles, par qui, comment et sur quel fondement.

 

Quel timing ?

L’entreprise doit notamment s’interroger pour savoir si elle n’aurait pas intérêt à mettre en place les autres outils mis à sa disposition pour effectuer le transfert de données personnelles depuis l’Union Européenne vers des pays tiers, notamment les clauses contractuelles types et les BCR (« Binding Corporate Rules »).

Si ces outils n’ont pas été utilisés pour les flux passés ou en cours, l’entreprise a donc intérêt à envisager leur mise en place dans les meilleurs délais, car cela peut prendre du temps. A titre indicatif, 18 mois pour les BCR, 3 à 6 mois pour les clauses contractuelles types. Et la CNIL va commencer à entreprendre des actions, notamment de répression, à compter du mois de janvier 2016.

En effet, d’ici la fin janvier 2016, le G29 - groupe de travail des autorités de contrôle européennes – a chargé les institutions américaines et européennes d’aboutir à un nouveau cadre règlementaire, qui est donc en cours de discussion (un Safe Harbor II).

En attendant la mise en place de ce nouveau cadre règlementaire, la CNIL recommande aux professionnels de réduire les risques en adoptant la bonne démarche pendant cette période de transition[3].

 

Les outils à la disposition des entreprises

Trois options, cumulables entre elles, sont envisageables pour les entreprises européennes qui souhaitent continuer à transférer des données personnelles hors Union Européenne, et pallier à l’invalidation du Safe Harbor :

-        Dans le cadre d’une relation avec un consommateur, l’entreprise pourra transférer les données personnelles si elle a recueilli le consentement individuel de la personne concernée.

Un transfert de données personnelles est possible même vers les pays tiers n’assurant pas un niveau de protection adéquat lorsque la personne concernée a indubitablement donné son consentement audit transfert[4]. C’est tout simplement une exception au principe d’interdiction de transfert de données personnelles vers des pays tiers à l’Union Européenne.

Dès lors, il est envisageable de recueillir le consentement de la personne à laquelle se rapportent les données transférées, par le biais d’un clic par exemple. Cependant, il faut garder en tête que le consentement devra être libre et éclairé.

A titre de précision, d’autres exceptions sont prévues par l’article 26 de la directive (par exemple, si le transfert est nécessaire à l’exécution d’un contrat entre le responsable du traitement et l’intéressé).

Dès lors, les entreprises pourront recourir aux exceptions prévues au sein de la directive si elles remplissent les conditions légales exigées.

Mais le recours à ces exceptions devra se faire avec précaution, la CNIL recommandant que ce recours soit limité à des cas ponctuels et exceptionnels.

-        Les clauses contractuelles types dans le cadre de relations B2B :

Les « clauses contractuelles types » sont des modèles de clauses contractuelles adoptées par la Commission Européenne, qui permettent d’encadrer les transferts de données personnelles hors de l’Union Européenne.

Une distinction est opérée selon qu’il s’agit de transferts entre deux responsables de traitement ou de transferts de responsable de traitement vers un sous-traitant. Il existe donc deux types de clauses afin d’encadrer chacun de ces transferts.

Ces clauses ne sont pas flexibles, mais les reprendre revient à s’assurer une procédure d’autorisation auprès de la CNIL plus rapide et une sécurité dans les transferts des données personnelles.

A titre de précision, la signature de clauses contractuelles types n’exempte pas de soumettre le transfert de données personnelles vers les Etats-Unis à une autorisation préalable de la CNIL. Pour ce faire, il suffira de préciser aux termes de la formalité effectuée auprès de la CNIL qu’un transfert de données vers les Etats-Unis est envisagé et qu’il sera encadré par l’adoption de clauses contractuelles types.

-        Les  « Binding Corporate Rules » ou BCR, pour les relations intra-groupe :

Les BCR désignent un code de conduite interne définissant la politique d’un groupe de sociétés en matière de transfert de données personnelles hors de l’Union Européenne. Elles ne concernent que les modalités des transferts effectués à l’intérieur d’un même groupe de sociétés.

Sont donc uniquement concernées par cette solution les entreprises multinationales exportant des données de leurs entités européennes vers d’autres entités du groupe (divisions, filiales par exemple) basées dans des pays tiers n’assurant pas un niveau de protection équivalent à celui de l’Union Européenne.

 

Une carte a jouer pour l’Europe

La décision de la CJUE a souligné les faiblesses du système américain de protection des données. Elle oblige aujourd’hui les entreprises à repenser rapidement leur organisation.

Ainsi, Microsoft vient d’installer deux data centers en Allemagne.

Microsoft, comme Google et des milliers d’entreprises, n’est pas certifiée BCR, et ne se repose que sur les clauses contractuelles types, lesquelles pourraient, à terme, aussi être remises en cause. Le nouveau Safe Harbor II en cours de négociation pourrait s’avérer bien plus contraignant pour ces sociétés.

D’où l’intérêt de s’affranchir des risques pesant sur les flux en les hébergeant directement sur le territoire européen.

Cette évolution constitue dès maintenant une belle opportunité pour les entreprises européennes spécialisées dans l’hébergement des données : elles ont tout intérêt à capitaliser sur cette décision et à faire de la sécurité qu’apporte dès à présent la législation européenne un véritable argument commercial auprès de leurs clients.

C’est donc le moment pour les Européens de montrer leurs atouts...

[1] http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:31995L0046

[2] décision 2000/520/CE http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32000D0520&from=FR

[3] Guide transferts intégral de la CNILhttp://www.cnil.fr/fileadmin/documents/Vos_responsabilites/Transferts/GUIDE-transferts-integral.pdf

[4] article 26 de la directive 95/46/CE