Nouveau tour de vis pour le transfert de données vers les USA

Dans son arrêt du 6 octobre 2015, la Cour Européenne de Justice (CEJ) avait jugé dans l'affaire Schrems que la "sphère de sécurité" ou "Safe Harbour principle" établi par les USA était invalide et ne pouvait être invoquée pour justifier le transfert de données personnelles vers les USA.

Pour rappel, avant le RGDP, la directive 95/46 (et en Belgique la loi du 8 décembre 1992) fixait des conditions strictes au transfert hors de l'Union et imposait que le pays d'accueil garantisse un niveau de sécurité des données « équivalent » à la protection accordée dans l'Union.

Un nombre limité de pays avaient été reconnus comme remplissant ce critère, ce n'était pas le cas des USA.

Dès lors, le département du Commerce des USA et la Commission avait établi un cadre appelé "sphère de sécurité" ou "safe harbour principle" permettant aux entreprises américaines qui le souhaitaient de s'engager à respecter diverses règles afin de garantir une protection équivalente des données. Ce mécanisme d'auto-régulation et d'auto-certification volontaire rendait donc valable un transfert vers les USA. Près de 4.000 entreprises américaines donc Microsoft ou Facebook avaient adhéré à ces principes.

Dans le cas de Facebook, tout utilisateur européen était tenu de souscrire un contrat avec Facebook Irlande une filiale de Facebook Inc la société mère américaine. Or, une partie des données personnelles des utilisateurs européens de Facebook était transférées vers Facebook Inc et ce, grâce à la certification Safe Harbor. Monsieur Schrems, un citoyen autrichien, utilisateur de Facebook s'opposa à ce transfert et déposa une plainte afin qu'il soit interdit à Facebook Irelande de transférer ses données personnelles vers Facebook Inc.

Dans son arrêt de 2015 CEJ rejetait cette certification car les autorités américaines avaient largement démontré qu'elles faisaient fi des principes européens en la matière, en exigeant que les entreprises américaines même certifiées "Safe harbor" leur donnent accès sans limite à leurs données personnelles y compris provenant de l'Union.

La CEJ constatait que le "Safe harbor" ne garantissait pas un niveau de protection équivalent à celui de l'Union. Elle pointait ainsi, justement, la trop grande tolérance de la Commission par rapport aux USA. On rappellera d'ailleurs que dans l'affaire Swift, ladite Commission avait déjà accepté une importante dérogation aux règles européennes.

Certes la directive (comme le RGDP) prévoyait que la commission puisse "constater" que suite à des engagements internationaux négociés un pays assure un niveau de protection équivalent mais la CEJ reprochait à la commission de ne pas avoir tenu compte des dérives sécuritaires aux USA révélées notamment par l'affaire Snowden.

Suite au rejet du « Safe harbour », pour ne pas interrompre les flux de données transatlantiques, une solution de secours fut rapidement mise en place sous la forme du « Privacy shield » càd un mécanisme élaboré en collaboration entre le département du Commerce US et la Commission Européenne pour permettre aux entreprises y adhérant de remplir les conditions de protection des données. Il s’agissait à nouveau d’un mécanisme d’auto-certification.

J’avais à l’époque déjà soulevé que le Privacy Shield présentait en substance le même défaut majeur que son ainé le Safe Harbour à savoir qu’il ne limitait pas l’accès aux données par les autorités américaines, “d’une manière qui satisfait à des exigences essentiellement équivalentes à celles requises par le droit européen”. De fait, le niveau de protection « équivalent » n’était donc pas assuré par rapport aux autorités US.

C’est précisément la raison pour laquelle la CEJ dans son arrêt du 16 juillet 2020 a déclaré invalide le « Privacy shield ». Rien que de prévisible donc.

Est-ce à dire que tout transfert de données personnelles vers les USA devient impossible? Non, car le RGDP prévoit que lorsque l'état étranger n'assure pas un niveau de protection adéquat, un transfert reste possible si (i) le travailleur y a consenti – après avoir été informé des risques, (ii) si ce transfert est nécessaire à l'exécution d'un contrat (par exemple une convention d'octroi d'options sur actions), (iii) si le transfert est nécessaire à la sauvegarde de l'intérêt vital de la personne ou encore (iv) si la société concernée a démontré qu'elle assurait un niveau de protection équivalent par exemple par des règles d’entreprises contraignantes approuvées ou le recours aux clauses standards.

Il est vrai cependant que vu les transferts importants de données personnelles au sein des groupes internationaux, les entreprises impliquées dans des transferts Union vers USA, feront bien de réexaminer leur pratique.