Privacy Shield : Un nouvel accord UE – Etats-Unis dans la tourmente

Origine du Privacy Shield et motivations

Logo Privacy Shield

Depuis 2018, le RGPD a fait couler beaucoup d’encre. Néanmoins, peu de gens connaissent tous les aspects couverts par cette règlementation récente. En effet, pour beaucoup, le RGPD ne se limite qu’à la petite fenêtre qui demande d’accepter les cookies quand ils arrivent sur un nouveau site internet. Une des autres contraintes pour les entreprises est la gestion des données, leur traitement, ainsi que leur stockage et c’est sur ce dernier point que rentre en jeu le Privacy Shield UE-USA.

Le RGPD règlemente la sécurité du stockage des données personnelles des citoyens européens. L’une des contraintes porte sur la localisation des données. En effet, elles ne peuvent être stockées hors de l’Union Européenne sans respecter certaines règles très précises et surtout contraignantes pour les entreprises. C’est pour ces raisons que le 12 juillet 2016 est né l’accord du Privacy Shield en remplacement du Safe Harbor. Le but de cet accord était de faciliter l’envoi de données européennes aux États-Unis par le biais d’un mécanisme d’auto certification. Une fois inscrites dans ce cadre juridique, les entreprises pouvaient transférer des données aux États-Unis bien plus facilement.

Suite aux deux plaintes déposées de la Haute Cour d’Irlande par Maximillian Schrems, un activiste pour la défense de la vie privée, l’affaire a été transmise à la CJUE (Cour de Justice de l’UE). Cette deuxième plainte s’est conclue par l’invalidation du bouclier de protection des données. C’est le 16 juillet 2020 que la CJUE annule l’accord du Privacy Shield dans son arrêt Schrems II en considérant que les niveaux de protection convenus n’étaient pas suffisants.

La principale raison de cette invalidation est en réalité l’accès illimité que possède le gouvernement états-unien aux données des entreprises privées situées sur leur territoire. C’est pourquoi, dans la pratique l’accès du gouvernement des Etats-Unis prime et rend le Privacy Shield partiellement limité. Les conditions prévues initialement n’étaient donc pas respectées, ce qui a poussé la CJUE à annuler sa validité.

Les conséquences de l’invalidation du Privacy Shield

Par cette décision, la CJUE fait primer la protection de la vie privée des citoyens européens sur les intérêts économiques que supportait le Privacy Shield.

En effet, la CJUE s’inquiète de l’intrusion des autorités publiques américaines dans la vie privée des citoyens. La volonté affichée derrière cette invalidation est double :

  • D’une part, la CJUE espère imposer aux pays tiers un abandon de leurs lois de surveillance en les incitant à adopter une règlementation qui soit au niveau de ce qu’exige le RGPD.
  • D’autre part, celle-ci impose des contraintes supplémentaires sur les transferts initiés par les entreprises détenant des données personnelles d’européens afin de garantir que celles-ci ne se retrouvent pas entre les mains des programmes de surveillance massifs qui résultent de la loi FISA (Foreign Intelligence Surveillance Act) des Etats-Unis.

Ainsi, les entreprises partageant leurs données avec des partenaires américains signataires du Privacy Shield, sont depuis la mi-juillet dans l’illégalité et doivent se mettre à la recherche de solutions leur permettant de revenir rapidement dans le cadre légal. La CJUE n’a prévu aucun délai pour permettre la mise en conformité et le texte du RGPD prévoit des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du revenu mondial d’une entreprise.

Les géants américains de l’informatique sont très concernés par cette mesure où il se pose la question de la possibilité même de continuer à délivrer leurs services aux européens. Ainsi Yvonne Cunnane, responsable de la protection des données chez Facebook, a déclaré : « On ne voit pas comment, dans ces circonstances, Facebook pourrait continuer à fournir les services Facebook et Instagram dans l’Union européenne », menaçant de retirer ses services à plus de 400 millions d’utilisateurs européens. Dans l’actualité, des questions se sont récemment posées sur l’hébergement des données de Doctolib sur AWS, service cloud d’Amazon signataire du Privacy Shield et également à propos du Health Data Hub, cette base de données qui stocke les informations de santé des Français sur Microsoft Azure. Le Conseil d’Etat a tout de même validé le partenariat avec Doctolib pour la gestion actuelle des rendez-vous de vaccination contre la Covid-19 et a aussi validé le recours au Health Data Hub, en demandant de mettre en place des mesures de sécurité supplémentaires.

Le gain en protection de la vie privée des européens apportée par cette invalidation du Privacy Shield amène donc une première conséquence négative d’ordre légale.

La deuxième conséquence négative qui en découle est d’ordre économique. Wilbur Ross, l’ancien secrétaire américain au Commerce, s’est exprimé à ce sujet : « Nous espérons pouvoir limiter les conséquences négatives pour la relation économique transatlantique qui pèse 7 100 milliards de dollars et qui est vitale pour nos citoyens, entreprises et gouvernement respectifs ».

Le Privacy Shield offrait un moyen peu cher aux entreprises souhaitant faire des affaires outre-Atlantique. Plus de 5000 entreprises ont participé à ce bouclier de protection de données dont 70% sont des Petites ou Moyennes Entreprises (PME) et ont donc déjà investi de l’argent dans leur mise en conformité vis-à-vis de ce bouclier dont une somme d’environ 1000€/an. L’invalidation du Privacy Shield risque de remettre en cause une partie cet investissement de la part des entreprises et des PME en particulier qui n’ont pas les ressources nécessaires pour utiliser des outils juridiques plus complexes.

Selon la Chambre de commerce américaine, 295 milliards de dollars étaient liés aux échanges transatlantiques de services numériques en 2018, l’UE en exportant 107 milliards de dollars vers les Etats-Unis et en important 188 milliards de dollars. Cet échange de services numériques ne fait que s’accroître au fil du temps à mesure que nous nous dirigeons vers un monde de plus en plus digital et que les entreprises, en particulier les PME, ont recours à des services cloud américains. Les entreprises signataires du Privacy Shield de part et d’autre de l’Atlantique venant de secteurs pas forcément de l’informatique (transports et santé par exemple) seront aussi impactées négativement dans leurs activités.

Excédents commerciaux États-Unis UE services numériques
Excédents commerciaux entre les États-Unis et l’UE dans les principaux services numériques, par filiale (2018)

Enfin, outre les soucis administratifs judiciaires et économiques engendrés par l’invalidation du Privacy Shield, la question de la pérennité des transferts de données se pose avec d’autres pays tiers, notamment avec la Chine. A ce titre, depuis décembre 2020, la commission irlandaise de protection des données s’intéresse beaucoup à Tiktok. Elle suspecte l’application de ne pas être conforme au RGPD en faisant transiter une partie des données personnelles de citoyens européens vers la Chine.

Il est donc apparent que les entreprises doivent rapidement s’adapter au nouveau contexte encadrant les transferts de données vers les États-Unis. Pour cela, l’EDPB (le comité européen de la protection des données) propose un certain nombre de solutions pour être en adéquation avec le RGPD : les recommandations 01/2020 et 02/2020 :

Solutions et bonnes pratiques

Les bonnes pratiques à noter pour se mettre en conformité sont les suivantes:

  1. Cartographier les transferts de données: Il faut que l’entreprise soit en mesure de cartographier les transferts de données personnelles et d’identifier les pays tiers vers lesquelles vont ces données.
  • Agir au cas par cas et identifier l’ensemble de la chaîne: Chaque transfert est étudié de façon individuelle. La gestion des données par le prestataire et sous-traitant doit aussi être vérifié.
  • Minimiser les données à transférer : L’exportateur de données doit s’assurer d’être conforme au principe de « minimisation des données » (données adéquates, pertinentes et limitées)
  1.  
  2. Recenser les instruments de transfert utilisés :
  • Cas 1 « pays/région adéquate » : Aucune mesure supplémentaire n’est nécessaire si la région fait toujours partie de la « liste des décisions d’adéquation de la Commission Européenne». La carte du site de la CNIL donne un aperçu rapide de la liste des pays adéquats :
  • Cas 2 « pays/région inadéquate et transferts réguliers et répétés » : L’article 46 du RGPD énumère une série d’instruments de transfert contenant des « garanties appropriées » pour le transfert de données. Il peut être nécessaire d’avoir recours à des mesures supplémentaires pour que l’entreprise ait un niveau de protection équivalent.
  • Cas 3 « transferts occasionnels et non répétitifs »: L’article 49 du RGPD présente des cas de dérogation.
  1. Evaluer l’instrument de transfert vis à vis des lois ou pratiques du pays tiers: Il est nécessaire de vérifier que la législation du pays n’impacte pas le niveau de protection et le transfert des données.
  • La recommandation 02/2020 « Garanties essentielles européennes pour les mesures de surveillance » de l’EDPB permet d’évaluer les garanties essentielles à respecter pour la protection des données.
  • Référence pour les lois et règlements en matière de protection des données à travers le monde : DLA Piper’s Data Protection Laws of the World Handbook
  • Evaluation des mesures de sécurité et des risques: Une bonne pratique est de reformuler chaque exigence de sécurité identifiée par l’EDPB et l’adapter au contexte de votre entreprise. Ces exigences seront comparées à celles existantes et identifiées dans les plans et procédures.
  1. Identifier et adopter des mesures supplémentaires : Si aucune mesure ne permet d’être conforme aux exigences de l’UE, il faudra suspendre et terminer le transfert.
  • Les différences entre états aux US: Le niveau de protection des données diffère en fonction des états aux Etats-Unis. Par exemple, le CCPA (California Consumer Privacy Act) en Californie se rapproche des exigences du RGPD et peut aider dans la mise en conformité.
  1. Mettre en place ou s’assurer de la mise en place des mesures supplémentaires: (Cf. article 46 du RGPD)
  2. Réévaluer à intervalles réguliers le niveau de protection attendu pour les données à transférer vers un pays tiers : Dans le cas de nouveaux développements qui pourraient affecter le niveau de protection des données personnelles transférées, il est nécessaire d’évaluer à nouveau les mesures de protection.
  • Ne pas oublier de tracer: Il faut garder des preuves du travail effectué pour rendre des comptes à la CNIL.

Il est donc apparent que l’invalidation du Privacy Shield par la CJUE, visant à mieux faire respecter le RGPD vis-à-vis des instances états-uniennes, est une bonne nouvelle pour la protection des données personnelles des citoyens de l’UE. Mais cela se paie par des conséquences économiques négatives en particulier pour les PME de part et d’autre de l’Atlantique.

Bien que d’autres solutions existent et sont recommandés par la CJUE pour palier à l’invalidation du Privacy Shield, celles-ci sont plus coûteuses et complexes à mettre en place. De plus, le RGPD étant fondamentalement incompatible avec la loi de surveillance FISA des Etats-Unis, ces solutions sont incertaines. Cependant, les négociations mises à l’arrêt en raison des élections présidentielles aux Etats-Unis pourraient bien aboutir à un nouveau Privacy Shield.

L’Europe, préoccupée par les Géants du Cloud et leur niveau de protection des données, lance le projet GAIA-X. Il a été initié par la France et l’Allemagne et vise à créer une infrastructure européenne des données. Son but est de développer un cloud européen souverain et conforme au RGPD, en opposition aux opérateurs cloud états-uniens et chinois.

Co-écrit par Amandine Castagne, Yassine Elqotbi et Daniel Frolov.