Pages

dimanche 19 juillet 2020

Le Privacy Shield enterré par la CJUE

L'avocat autrichien Maximilian Schrems est certainement l'un des acteurs européens les plus engagés dans la protection des données personnelles. Depuis des lustres, il combat inlassablement les GAFA, et plus spécialement Facebook, qui envoient aux Etats Unis les données personnelles de leurs utilisateurs européens. Et ils le font en toute légalité, dès lors que l'Union européenne a accepté de passer des accords avec les Etats Unis, accords reposant sur une fiction juridique selon laquelle les données personnelles feraient l'objet d'une protection équivalente de part et d'autre de l'Atlantique. Le problème est que rien n'est plus faux. Pour le droit européen, les données personnelles sont des éléments de la vie privée. Pour le droit américain, elles sont des biens susceptibles d'échanges et d'appropriation.


La décision Schrems 2 et le Privacy Shield



Saisie par Maximilian Schrems, la Grande Chambre de la Cour de Justice de l'Union européenne (CJUE) a invalidé, dans un arrêt du 6 juillet 2020, la décision 2016/1250 de la Commission déclarant l'"adéquation" de la protection des données assurée par l'accord Privacy Shield. Entré en vigueur le 1er août 2016, cet accord entre l'UE et les Etats Unis supposait en effet une décision de la Commission déclarant que la protection des données personnelles par le droit américain était "adéquate", c'est-à-dire d'une efficacité équivalente à celle exigée par le droit européen. Les firmes américaines pouvaient alors conduire un processus d'auto-certification et s'inscrire sur un registre géré par le ministère du commerce américain. Les entreprises européennes étaient alors autorisées à transférer leurs données personnelles aux firmes figurant sur cette liste, une autre décision de la Commission prévoyant des "clauses types" pour ce type d'échanges. C'est ce que faisait Facebook, dont la filiale irlandaise transférait massivement les données des abonnés européens du réseau social à la maison mère américaine.


La décision Schrems 1 et le Safe Harbor



L'arrêt du 6 juillet 2020 s'inscrit dans un contentieux initié en 2013 par Maximilian Schrems devant l'autorité irlandaise de protection des données, puis devant la justice irlandaise. Invoquant les révélations d'Edward Snowden, il demande  alors la cessation des transferts de données personnelles de Facebook Irlande à Facebook Etats Unis, dès lors qu'il apparaît que ces données conservées sur des serveurs américains sont accessibles aux services de renseignements des Etats Unis, la NSA en particulier. Le requérant s'appuyait alors sur le droit européen de l'époque, c'est-à-dire sur la directive de 1995 sur la protection des données.

Il conteste donc une première décision d'adéquation de la Commission, datée du 26 juillet 2000. A l'époque, elle trouvait son origine dans un premier accord intervenu entre l'UE et les Etats Unis, le Safe Harbor. Maximilian Schrems obtient satisfaction, et la CJUE, dans un premier arrêt du 6 octobre 2015, rendu sur question préjudicielle, déclare cette décision non conforme au droit européen de la protection des données, faisant en quelque sorte exploser le Safe Harbor.

Mais le lobby des GAFA est décidément très puissant, et l'accord Privacy Shield, adopté après l'arrêt Schrems 1, ressemble étrangement à Safe Harbor. Et il est écarté pour les mêmes motifs.

David vainqueur de Goliath
Kaspar van der Hoecke, circa 1585

Le RGPD



La décision Schrems 2 ne se distingue guère de la décision Schrems 1 que par le fondement juridique du droit de l'Union. A la directive de 1995 a succédé le règlement général de protection des données (RGPD), adopté en 2016 et en vigueur depuis mai 2018. Or, le Privacy Shield n'est pas plus conforme au RGPD que Safe Harbor n'était conforme à la directive de 1995.

La lacune essentielle du Privacy Shield, mise en lumière par l'arrêt du 8 juillet 2020, réside dans l'oubli total de la loi américaine. Il organise en effet l'échange de données personnelles entre les entreprises américaines et les entreprises européennes, échange reposant sur l'affirmation d'une équivalence de protection dans les deux systèmes. Mais les relations entre les entreprises américaines et l'administration des Etats Unis ne sont pas évoquées, sauf par une dérogation très générale figurant dans une annexe II de la décision. Et cette dérogation affirme simplement que des ingérences dans les données personnelles ayant ainsi transité de l'Europe vers les Etats Unis sont possibles, fondées notamment sur "des exigences relatives à la sécurité nationale et à l’intérêt public ou sur la législation interne des États-Unis". Autrement dit, les données des internautes européennes peuvent faire l'objet d'une collecte, et même d'une collecte de masse, par l'administration américaine, collecte qui, au regard du droit européen, s'analyse comme une ingérence dans la vie privée. Dans le cas de Facebook, objet du litige initié par le requérant, on imagine mal Mark Zuckerberg refusant à la NSA, ou à tout autre service américain, la communication de données sur les utilisateurs européens du réseau social.

La CJUE invalide donc le Privacy Shield comme elle avait invalidé l'accort Safe Harbor. Cette décision ne signifie pas que les transferts de données de part et d'autre de l'Atlantique doivent immédiatement cesser. Elle se borne à imposer aux autorités de contrôle, y compris au commissaire irlandais à la protection des données bien passif durant toute l'affaire, d'interdire les transferts lorsque les clauses types de protection des données ne peuvent pas être respectées aux Etats Unis. En d'autres termes, les transferts demeurent licites s'ils sont conformes au RGPD.

De manière très concrète, la décision devrait théoriquement susciter une réforme de la surveillance des données par l'administration américaines pour que les firmes puissent de nouveau prétendre au statut privilégié reposant sur l'équivalence de la protection des données personnelles. On à du mal à croire que l'administration Trump se soumette volontiers à une telle exigence. Quant aux GAFA, ils se sont toujours efforcés d'échapper au droit de l'Union européenne et il ne fait guère de doute que le Privacy Shield était le produit d'un lobbying particulièrement efficace. On peut donc penser que nous sera bientôt imposée une troisième mouture de ces accords d'équivalence. On se prend à rêver qu'un jour, les citoyens des Etats membres soient consultés sur les normes qui leurs sont appliquées. On se prend aussi à rêver que les associations françaises de protection des droits de l'homme s'intéressent à ces questions. Mais heureusement, Maximilian Schrems veille.




1 commentaire:

  1. Article intéressant mais il me semble sauf erreur de ma part que M. Schrems ne soit que militant et non avocat

    RépondreSupprimer