Le groupe « G29 » critique trop sévèrement le nouveau « bouclier vie privée » (Privacy Shield) entre l’Europe et les Etats-Unis. Il trouve ses mécanismes de
co-régulation insuffisants. Pourtant, l’idéal européen en matière de protection
de droits individuels n’existe pas non plus.
Par Julie Brill et Winston Maxwell, avocats associés, Hogan Lovells
Comme le tout nouveau règlement européen sur le traitement des données à caractère personnel et la libre circulation de ces données (1), la directive de 1995 sur la protection des données à caractère personne (2) interdit tout transfert de données vers un pays non-européen, sauf si le transfert tombe dans l’une des exceptions prévues par la directive. Depuis 2000, le système d’auto-certification dénommé « Safe Harbor » était considéré par la Commission européenne comme fournissant un niveau de protection adéquat, et a permis le transfert de données vers les entreprises américaines détenant ce label.
Le Privacy Shield ne convainc pas le G29
En novembre 2013, la Commission européenne a remis en cause le système Safe Harbor, et cette remise en cause a été confirmée par la Cour de Justice de l’Union européenne (CJUE) dans son arrêt « Schrems » (3). Depuis, le régime Safe Harbor
est en pratique mort et les entreprises utilisent d’autres outils juridiques, tels que les
« clauses contractuelles types », pour effectuer leurs transferts de données vers les Etats-Unis. Depuis la mort du Safe Harbor, la Commission européenne et le gouvernement américain travaillent sur un nouveau dispositif amélioré. Dévoilé le 29 février, le nouveau système, dénommé « Privacy Shield », tire les leçons des critiques de la Commission européenne et de la CJUE.
La Commission européenne a annoncé son intention de déclarer ce nouveau régime
« adéquat » au regard de la directive de 1995. Mais le 13 avril 2016, le groupe « article 29 » (G29), qui réunit les « Cnil » européennes, a émis un avis mitigé. Tout en félicitant la Commission européenne et les Etats-Unis du travail accompli, le G29 estime que le nouveau système lui semblait défectueux à plusieurs égards : premièrement, les principes de protection énoncés dans le Privacy Shield ne reflètent pas l’ensemble des principes de la directive de 1995 ; deuxièmement, le dispositif ne garantit pas suffisamment la mise en oeuvre effective de ces principes au sein des entreprises ; troisièmement, les pouvoirs des autorités de renseignements américains ne sont toujours pas assez encadrés. Avant d’examiner ces trois séries de critiques, revenons aux fondements : le Privacy Shield, comme le régime Safe Harbor, est un régime de
co-régulation. Les entreprises qui souhaitent participer à ce régime doivent souscrire à des engagements, et les mettre en oeuvre sous le contrôle de l’Etat (4). Ce régime est similaire aux « Binding Corporate Rules » (BCR) et au label gouvernance de la Cnil. Les entreprises souscrivent aux engagements et sont responsables pour leur mise
en oeuvre. Elles doivent être en mesure de rendre compte aux autorités des mesures prises. Il s’agit d’un exemple du principe d’« accountability » mis en avant par le nouveau règlement européen. Ainsi, le Privacy Shield est dans l’air du temps.
Malgré ses similitudes avec les BCR et autres mécanismes de co-régulation, le Privacy Shield ne convainc pas le G29. La première série de critiques concerne les principes de protection. Selon le G29, le Privacy Shield a omis le principe de limitation de durée de conservation des données. Le groupe pointe du doigt également l’encadrement insuffisant des transferts ultérieurs (« onward transfer »). La deuxième série de critiques concerne la mise en oeuvre effective des principes par les entreprises et par le gouvernement américain. La plupart des entreprises américaines ont pris au sérieux leurs engagements au titre du Safe Harbor, mettant en place un programme rigoureux de conformité. Mais ce n’était pas le cas de toutes les entreprises, et la Commission européenne a demandé une supervision accrue de la part des autorités américaines (5). Le nouveau régime Privacy Shield prévoit donc un rôle accru du Département du Commerce dans la surveillance des entreprises ayant opté pour le régime « privacy shield ».
Fais ce que je dis, pas ce que je fais…
En cas de manquement, la FTC sera en droit d’appliquer des sanctions lourdes. En plus, le nouveau régime prévoit la possibilité pour les citoyens européens d’effectuer des réclamations directement auprès de la société américaine concernée, mais également auprès de l’autorité de protection des données à caractère personnel de
leur propre pays, laquelle transmettra la plainte au Département du Commerce pour action. Enfin, les citoyens européens peuvent entamer une procédure d’arbitrage ou une procédure judiciaire à l’encontre de la société concernée. Le G29 trouve ces mécanismes insuffisants. Il regrette que le Département du Commerce ne donne pas de garantie sur le traitement des plaintes qu’elle recevra des citoyens européens. Cependant, la Cnil elle-même ne donne pas de garantie sur l’issue des plaintes qu’elle reçoit, donc cette critique nous semble exagérée. Le G29 critique ensuite le niveau faible de sanctions, mais là encore, cette critique ne semble pas justifiée compte tenu des pouvoirs de sanction de la FTC. Le G29 souligne la nécessité pour les entreprises américaines d’avoir des mécanismes internes en place pour détecter d’éventuels manquements.
Pouvoirs accrus des renseignements
Cette critique nous semble sévère, car la plupart des grandes entreprises américaines ont déjà des procédures de conformité qui permettent de détecter et sanctionner des manquements aux règles de l’entreprise. Dans la mesure où le Privacy Shield sera intégré dans ces programmes de conformité, les mécanismes internes de détection seront probablement très efficaces.
La partie la plus troublante de l’avis du G29 concerne la critique des pouvoirs des agences de renseignements aux Etats-Unis. Le pouvoir étendu des autorités de renseignement est un point sensible aux Etats-Unis comme en Europe. Les défenseurs de libertés individuelles critiquent les Etats-Unis mais également les gouvernements de pays européens pour avoir augmenté considérablement les pouvoirs d’agences de renseignement sans mesures de contrôle. Avec ses lois sur le renseignement et sur l’interception des communications internationales, la France suit cette tendance, ce qui est compréhensible compte tenu de l’augmentation du risque terroriste. Cependant, le G29 critique le système américain sans prendre en considération le fait que l’équilibre trouvé aux Etats-Unis entre les libertés des individus et les impératifs de lutte contre le terrorisme est similaire à l’équilibre trouvé en France en matière d’activités de renseignement. Comme la loi française, la loi américaine fait une distinction entre les enquêtes de police, et les activités de renseignement. Le traitement des données dans le cadre des enquêtes de police aux Etats-Unis (comme en France) est généralement respectueux des droits et libertés individuels. Les résidents européens sont dorénavant mieux protégés aux Etats-Unis en raison de l’adoption du « Judicial Redress Act » qui donne aux Européens certains droits de recours réservés auparavant aux résidents américains. En matière d’enquêtes de police, la situation est donc globalement satisfaisante. Le problème le plus délicat réside dans les activités de renseignement.
Le G29 dénonce l’imprécision de la loi américaine sur ce que peut constituer une menace pour la sécurité nationale. Mais cette définition n’est pas moins précise que celle contenue dans le code français de la sécurité intérieure. Le G29 reconnaît l’existence de mesures de contrôle interne efficaces au sein des autorités américaines de renseignement, mais regrette l’absence d’un organe de contrôle plus indépendant, de préférence judiciaire. Pourtant, là aussi, la situation des Etats-Unis n’est pas différente de celle de la France. Le G29 critique l’absence d’encadrement des mesures de surveillance conduites en dehors des Etats-Unis, mais oublie de mentionner que cette même critique pourrait s’appliquer à la France. En résumé, le système américain est critiqué parce qu’il ne correspond pas à un idéal européen en matière de protection de droits individuels dans le cadre d’activités de renseignement, alors que cet idéal n’existe pas sur le terrain dans de nombreux pays européens, dont la France. Cela revient à dire : « Fais ce que je dis, pas de que je fais ! ».
En matière d’activités de renseignement, le dispositif Privacy Shield inclut des avancés pour la protection des citoyens européens, et notamment un nouveau droit d’accès indirect, à l’instar de celui qui existe en France. Une personne qui se demande si elle est fichée par les services de renseignement américains peut effectuer une demande auprès de son autorité locale de protection des données à caractère personnel. Celle-ci transmettra la demande à un haut fonctionnaire du département d’Etat aux Etats-Unis (6). Celui-ci s’engage à vérifier la régularité de toute mesure de surveillance. C’est l’équivalent de ce qui existe en France pour les fichiers de renseignement (7). Ce nouveau dispositif n’est disponible qu’aux résidents européens; les américains n’y ont pas accès. Le gouvernement américain s’est également engagé à appliquer à l’égard des Européens la plupart des protections qui existent à l’égard d’américains.
Certaines des critiques du G29 seront probablement pris en compte par la Commission européenne et le gouvernement américain. On pense par exemple au principe de limitation de durée de conservation des données, qui sera peut-être mieux articulé dans un Privacy Shield amélioré.
Vers une contestation en justice ?
D’autres critiques, notamment celles visant les activités de renseignement aux Etats-Unis, ne pourront probablement pas être prises en compte. La Commission européenne émettra sa décision sur le caractère « adéquat » du dispositif au cours du mois de juin, et le Privacy Shield deviendra un outil juridiquement opposable pour le transfert de données aux Etats-Unis.
Cependant, certaines autorités de protection des données personnelles – notamment en Allemagne – ont d’ores et déjà signalé leur intention d’attaquer le Privacy Shield en justice. Les entreprises resteront par conséquent dans l’incertitude sur la robustesse du nouveau bouclier. @