Il y a deux semaines, nous avons appris que le géant américain Facebook a adhéré au cadre de Bouclier de protection de la vie privée (Privacy shield). D’autre part, la semaine dernière, Digital Rights Ireland, a décidé de contester le Bouclier. Ces événements peuvent provoquer certaines questions au niveau des concepts de base dudit Bouclier. S’agit il d’une vrai protection ou bien on a l’affaire avec un Bouclier du papier ?
D’abord, notons qu’en vertu de la législation de l’UE, notamment de la directive 95/46/CE du Parlement européen et les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, les entreprises européennes, en général, ne peuvent pas transférer de données personnelles hors des États membres. Les législateurs nationaux appliquent ces règles et, par exemple, le Code pénal français, dans l’article 226-22-1, prévoit une peine de “cinq ans d’emprisonnement et de 300 000 € d’amende” pour transfert “hors les cas prévus par la loi” des données personnelles “vers un État n’appartenant pas à la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes.” Cela dit, l’article 25 de la directive 95/46/CE prévoit un mécanisme qui permet un tel transfert, à la condition que “le pays tiers en question assure un niveau de protection adéquat” des données. Il s’agit des cas où les dispositions législatives de certains États, par exemple de la Suisse, du Canada, d’Israël mais aussi d’Andorre, de l’Argentine ou de l’Uruguay, fournissent au moins le même niveau de protection des données personnelles que celui garanti en l’Union européenne. Ce qui peut apparaître surprenant, les États-Unis ne figurent pas sur cette liste. En même temps, il semble difficile d’utiliser l’internet, tant par des entreprises que par des individus, sans échanger des données personnelles entre les États membres de l’UE et les États-Unis,
Ainsi, en 2000, la Commission européenne, dans la décision 2000/520, a instauré le cadre juridique de Safe Harbour. Il s’agissait d’une stratégie d’autorégulation où les entreprises américaines s’engageaient à assurer la protection des données reçus de l’UE de façon qui correspond aux garanties européennes en la matière. Lorsqu’une entreprise américaine concluait un tel engagement, les entreprises européennes pouvaient transférer, ou bien héberger, des données personnelles en utilisant l’infrastructure de l’entreprise mentionnée, localisée aux États-Unis. Malgré la critique, le système fonctionnait plutôt bien, jusqu’au moment où certaines “activités de surveillance”, ont été révélées en 2013 par Edward Snowden, dont les échos sonnent encore de aux nos jours.
C’est ainsi que, dans la décision C-362/14 (Maximillian Schrems v Data Protection Commissioner), la Cour de justice a constaté que la législation des États-Unis permettait aux autorités publiques américaines “d’accéder de manière généralisée au contenu de communications électroniques”. Par conséquent, “les autorités américaines pouvaient accéder aux données à caractère personnel transférées à partir des États membres […] et traiter celles-ci d’une manière incompatible”, sans assurer aux citoyens européennes “de voies de droit administratives ou judiciaires permettant, notamment, d’accéder aux données les concernant et, le cas échéant, d’obtenir leur rectification ou leur suppression”. Tout cela portait atteinte au droit fondamental au respect de la vie privée des européens. Le cadre de Save Harbour, a cessé d’être considéré comme suffisant pour assurer les intérêts des citoyens de l’UE.
Pour répondre à ce problème et rétablir la confiance entre les parties, la Commission européenne et le gouvernement des États-Unis ont décidé d’élaborer un nouveau cadre. Le Bouclier de vie privée, est lancé le 12 juillet 2016.
Même si d’une part, le Contrôleur européen de la protection des données dans son avis concernant le Bouclier voit ce projet comme “un pas dans la bonne direction”, d’autre part, il trouve que le cadre “ne comprend pas, (…) l’ensemble des garanties nécessaires”. Le Contrôleur appelle l’UE à “obtenir des assurances supplémentaires en termes de nécessité et de proportionnalité au lieu de légitimer l’accès systématique aux données transférées par les autorités américaines sur la base de critères ayant une base juridique dans le pays bénéficiaire”. Le Contrôleur trouvent aussi le mécanisme d’autorégulation étant “une solution à court terme” et “insuffisantes pour préserver les droits et les intérêts des personnes et pleinement répondre à leurs besoins à l’heure du tout numérique”. De son point de vue, une implémentation au moins des grandes principes des droits de la personne au respect de la vie privée et à la protection des données dans une législation fédérale, comme c’est le cas pour les fameux États “qui assurent le niveau de protection adéquat”, est désirable.
La Commission, par contre, assure que, même s’il s’agit encore une fois d’un système d’auto-certification, le nouveau cadre prévoit des obligations strictes pour les entreprises qui traitent les données aussi que soumission d’accès des pouvoirs publics américains à des conditionnes claires et à des obligations de transparence. Il s’agit ici surtout de Presidential Policy Directive 28 qui impose une série de limitations quant aux “Signals Intelligence Activities” concernant des citoyens non-américains y compris les européens. En plus, les européens doivent disposer des mécanismes accessibles et abordables de règlement des litiges pour qu’ils puissent assurer que les données les concernant ne font pas l’objet d’une utilisation abusive. D’abord, l’entreprise qui participe au Bouclier, peut publier des rapports de transparence sur le nombre de demandes de renseignements personnels reçues de la part des autorités publiques. Notons, cependant que les entreprises sont autorisées (la version anglaise utilise le terme “may voluntarily issue”) à publier un tel rapport et seulement dans la mesure où de telles divulgations seront autorisées en vertu de la législation applicable. Ensuite, si un citoyen de l’UE demande le renforcement des standards du Bouclier, comme nous l’explique la Commission, idéalement l’entreprise elle-même donnera suite à la plainte. Il existera aussi une possibilité de recours aux autorités nationales de la protection des données des États membres. Le cas échéant, un mécanisme d’arbitrage sera disponible. Ainsi, au moins sur le papier, le nouveau cadre semble être rassurant.
Cependant, la réalité semble être un peu plus compliquée. Plusieurs acteurs ne sont pas satisfaits et le cadre du Bouclier est critiqué. Maximilian Schrems, l’activiste qui a initié la procédure d’invalidation du Safe Harbour en Europe, a essayé de mettre en pratique les mécanismes de garantis prévu par le Bouclier. D’abord, il a demandé au géant américain qui participe au Bouclier, Google, si les données lui concernants, sont transférées à une troisième partie. Quelques jours plus tard, il a posté sur son compte Twitter une lettre de National Security Agency, dans laquelle l’Agence refuse de s’exprimer au sujet d’existence ou non-existence d’un dossier éventuel concernant monsieur Schrems. Ensuite, le blogueur a essayé de s’adresser au son autorité nationale de sécurité des données personnelles, soit au Österreichische Datenschutzbehörde. Cette fois, monsieur Schrems n’a pas non plus réussi, car l’institution à laquelle la Commission fait référence sur sa page d’internet, n’existe pas encore.
Aussi Digital Rights Ireland, l’organisme qui a assisté Monsieur Schremes dans l’invalidation de Safe Harbour, a décidé de contester le nouveau cadre. Cette organisation de protection de la vie privée a décidé d’utiliser l’institution du recours en annulation du Bouclier, devant le Tribunal de la Cour de justice de l’Union européenne. L’affaire est affichée sur la page du Tribunal sous numéro T-670/16 étant qualifié en matière “de l’espace de liberté, de sécurité et de justice”. Malgré le manque de documents détaillés de l’affaire sous l’adresse mentionnée, les médias nous présentent les arguments éventuels qui pourraient être invoqués par Digital Rights Ireland.
D’abord, comme nous l’avons déjà mentionné, la législation américaine ne contient toujours pas de normes qui peuvent garantir une protection des données personnelles adéquate et cohérente avec les standards élaborés dans la décision C-362/14 (Maximillian Schrems v Data Protection Commissioner).
Ensuite, certains organismes, par exemple le groupe G29, ont évoqué, “le manque de garanties concrètes permettant d’éviter” des collectes abusives des données personnelles des européens par les agences américaines. Notons que Foreign Intelligence Surveillance Act, même s’il est limité par le Presidential Policy Directive 28 déjà mentionnés, il permet toujours, à certains organismes publics américains, de mener des collects massives de données personnelles, de façon secrète.
Finalement, comme Daragh O’Brien, le fondateur de Castlebridge, le souligne, le Bouclier a plusieurs lacunes, surtout dans les secteurs de la santé ou certains services financiers.
Bien compris, l’action entreprise par Digital Rights Ireland n’annule ni suspends l’encadrement. Nous allons probablement attendre plusieurs mois pour que cette procédure touche à sa fin. Pour l’instant, il est extrêmement difficile d’en prévoir le résultat. Ainsi, au moins pour le moment, le transfert de données peut se produire en utilisant le Bouclier.