1. Introduction
La valeur de la donnée ne suscite plus aucun doute. Les données personnelles sont partout et constituent une « mine d’or » pour l’économie numérique. Nombreuses sont les entreprises qui collectent et exploitent nos données, se créant ainsi un actif stratégique des plus précieux. Elles représentent une manne de richesses, en particulier pour les géants du numérique comme les GAFAM. D’aucuns parlent de la monétisation des données comme « la data aux œufs d’or ». Le Forum économique mondial prévoit que le marché des données personnelles sera de 500 milliards de dollars d’ici à 2024. Le Cabinet de conseil et d’audit PwC estime à plus de 7 milliards de dollars la vente directe de données par les entreprises. Enfin, en France, le marché de la donnée destiné à des usages mercatiques a atteint plus de 2 milliards d’euros en 2018.
Avec la mondialisation des échanges et l’usage croissant des nouvelles technologies, le nombre de transfert de données personnelles hors de l’UE n’a cessé de croître. Il constitue un enjeu économique pour les entreprises. Dans un article intitulé « Transferts de données hors UE : le cadre général prévu par le RGPD » publié le 16 juin 2021, la Commission nationale de l’informatique et des libertés rappelle que « les responsables de traitement (RT) et les sous-traitants (ST) peuvent transférer des données hors de l’Union européenne (UE) et de l’Espace économique européen (EEE) à condition d’assurer un niveau de protection des données suffisant et approprié. Ils doivent encadrer ces transferts en utilisant les différents outils juridiques définis au chapitre V du règlement général de la protection des données (RGPD) ».
2. Le cadre général prévu par le RGPD pour le transfert des données hors UE
Afin d’assurer un haut niveau de protection des données, les transferts hors UE peuvent être encadrés par les outils juridiques suivants :
- Une décision d’adéquation (article 45 du RGPD) qui établit qu’un pays tiers (c’est-à-dire un pays non lié par le RGPD) ou une organisation internationale assure un niveau de protection adéquat des données à caractère personnel. Le caractère adéquat doit être apprécié « au regard de toutes les circonstances » relatives au transfert, y compris la législation nationale, les accords internationaux et « les règles de droit » en vigueur dans le pays tiers en question. En résumé, la décision d’adéquation exige d’évaluer l’existence dans le pays tiers d’un cadre juridique de protection des données offrant des garanties et des recours semblables à ceux de l’UE ;
- Des clauses contractuelles types (CCT), adoptées par la Commission européenne en vertu de l’article 46-2 (c) du RGPD ou par les autorités en vertu de l’article 46-2 (d) du RGPD, qui se limitent à offrir des « garanties appropriées » ;
- Des règles internes d’entreprise (« Bindings Corporate Rules/BCR ») qui concernent principalement des entreprises privées de type multinationale, implantées dans plusieurs pays d’Europe et hors Union européenne (article 47 du RGPD) ;
- Un code de conduite (article 40 et 46-2 (e) du RGPD) ou un mécanisme de certification approuvé (article 42 et 46-2 (f) du RGPD) comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées ;
- Des arrangements administratifs ou des textes juridiques contraignants et exécutoires entre autorités et organismes publics (article 46-2 (a) du RGPD) ;
- En l’absence de décision d’adéquation en vertu de l’article 45 ou de garanties appropriées, les transferts des données hors UE ne peuvent avoir lieu que dans le cadre de « dérogations pour des situations particulières » prévues par l’article 49 du RGPD. Ces dérogations doivent être interprétées de manière restrictive.
L’UE dresse une liste des pays adéquats qui assurent un niveau de protection des données personnelles (voir décision d’adéquation de l’article 45 du RGPD). Les Etats-Unis n’étaient pas considérés comme un pays adéquat en raison notamment de l’absence d’une législation fédérale en matière de protection des données à caractère personnel. Ainsi, face aux Etats-Unis soucieux de rentabiliser l’explosion des données produites dans le monde, l’Union européenne a voulu se montrer prudente. Cela étant, à l’heure de la mondialisation et du numérique, il semblait difficile de se passer des Etats-Unis. D’où l’adoption le 26 juillet 2000 du programme « Safe Harbor » remplacé le 12 juillet 2016 par celui du « Privacy Shield »
3. Le cas spécifique des transferts de données vers les États-Unis
La « Sphère sécurité » ou « Safe Harbor »
Le 21 juillet 2000, le ministère américain du Commerce a publié « Les principes de la « sphère de sécurité » ou « Safe Harbor » en anglais pour permettre le transfert des données des citoyens européens vers les États-Unis en répondant de manière satisfaisante aux exigences européennes. Par la décision n° 2000/520 du 26 juillet 2000, la Commission européenne a reconnu le « Safe Harbor » en déclarant que les entreprises établies aux États-Unis étaient considérées comme ayant un niveau de protection adéquat si elles respectaient « les principes de la sphère de sécurité » ainsi que les questions souvent posées (FAQ) relatives à ces principes, publiés par le ministère du Commerce des États-Unis.
Cette décision d’adéquation a facilité le transfert des données personnelles de l’UE vers les États-Unis jusqu’en 2015. Mais eu égard aux nombreuses critiques dès son entrée en vigueur et aux révélations d’Edward Snowden, dévoilant à l’opinion publique une série de documents confidentiels ayant trait à une surveillance de masse exercée par le gouvernement américain, l’existence même de la « sphère sécurité » a été remise en cause. Elle a alors été invalidée par la Cour de Justice de l’Union européenne (CJUE) dans son arrêt du 6 octobre 2015 opposant le citoyen autrichien Maximillian Schrems, Facebook et l’autorité irlandaise de protection des données à caractère personnel (Data Protection Commissioner). Cet arrêt, est en tous points conforme aux conclusions de l’avocat général M. Yves Bot, qui considérait que le niveau de protection des données assuré par les États-Unis, ne répondait plus aux principes de la « sphère de sécurité » (voir document 62014CC0362de l’Union européenne relatif aux conclusions de l’avocat général, présentées le 23 septembre 2015).
« Le bouclier de protection des données » ou « Privacy Shield »
Suite à l’annulation du « Safe Harbor », la Commission européenne et le gouvernement américain se sont réunis pour élaborer un nouveau cadre destiné à offrir un niveau adéquat de protection des transferts de données vers les Etats-Unis. Ils ont adopté un nouveau mécanisme international, nommé « bouclier de protection des données » ou « Privacy Shield » en anglais, qui devait répondre aux treize recommandations de la Commission européenne énoncées en 2013 ainsi qu’aux principales craintes soulevées par la CJUE dans l’arrêt Schrems.
Cet accord entre l’UE et les États-Unis, qui s’applique à l’environnement commercial, ne doit pas être confondu avec « l’accord parapluie de protection des données personnelles » ou « Umbrella Agreement » qui concerne spécifiquement la coopération policière et judiciaire pour l’échange de données dans le cadre de la prévention et de la détection des infractions pénales.
Le » bouclier de protection des données », entré en vigueur le 1er août 2016, est un protocole d’auto-certification par lequel les entreprises établies aux Etats-Unis s’engagent à respecter les principes de protection des données personnelles publiés par le ministère américain du commerce. Comme le souligne Killian Lefevre, collaborateur chez Eversheds Sutherland, ce protocole leur « impose des obligations renforcées lorsqu’elles souhaitent utiliser des données personnelles provenant de l’UE, il contraint les États-Unis à s’engager à ce que l’accès des autorités publiques aux données transférées soit limité et encadré, et il ouvre une voie de recours pour les citoyens européens sur le sol américain ». En outre, le ministère américain du commerce s’est engagé à mettre en place la fonction d’« ombudsman » (médiateur) chargé de suivre les plaintes des citoyens de l’UE.
Comme la « sphère sécurité », le bouclier de « protection des données » a fait l’objet de vives critiques, comme le souligne le Parlement européen dans un document intitulé « Du « Safe Harbor » au « Privacy Shield » - Avancées et insuffisances des nouvelles règles de transfert des données UE-Etats-Unis ». Ce document nous annonce que « les défenseurs des Droits de l’homme et d’autres observateurs ont estimé que les engagements étaient insuffisants et trop vagues pour garantir le respect des droits des citoyens européens et que le bouclier aurait le même destin que le «Safe Harbor» ».
Le dispositif du « Privacy Shield » ne permettant pas d’assurer une garantie juridique suffisante pour le transfert des données personnelles de l’UE vers les Etats-Unis, la CJUE a invalidé le « Privacy Shield » le 16 juillet 2020 dans l’arrêt majeur dit « Schrems II » (Facebook, Ireland et Schrems) mais a validé les clauses contractuelles types de la Commission européenne.
4. Un « accord de principe » pour succéder au « bouclier de protection des données »
Après le « Safe Harbor » et le « Privacy Shield », invalidés respectivement en 2015 et 2020 par la CJUE, un accord portant sur un nouveau cadre juridique régulant les transferts de données entre l’UE et les États-Unis a été signé le 25 mars 2022 entre la présidente de la Commission européenne, Ursula von der Leyen et le président des États-Unis, Joe Biden. Une fiche d’information de la Maison Blanche publiée le jour-même et intitulée « Fact sheet : United States and European Commission announce Trans-Atlantic Data Privacy Framework » déclare que « Les États-Unis et la Commission européenne se sont engagés à mettre en place un nouveau cadre transatlantique de protection des données, qui favorisera les flux de données transatlantiques et répondra aux préoccupations soulevées par la Cour de justice de l'Union européenne lorsqu'elle a annulé en 2020 la décision d'adéquation de la Commission qui sous-tendait le cadre du bouclier de protection de la vie privée UE-États-Unis » […] « Le nouveau cadre transatlantique pour la protection des données souligne notre engagement commun en faveur de la vie privée, de la protection des données, de l'État de droit et de notre sécurité collective, ainsi que notre reconnaissance mutuelle de l'importance des flux de données transatlantiques pour nos citoyens, nos économies et nos sociétés respectifs. Les flux de données sont essentiels pour les relations économiques transatlantiques et pour toutes les entreprises, grandes et petites, dans tous les secteurs de l'économie. En fait, il y a plus de données qui circulent entre les États-Unis et l'Europe que partout ailleurs dans le monde, ce qui permet à la relation économique entre les États-Unis et l'UE de peser 7,1 billions de dollars ». De son côté, la CNIL a traduit et publié le 6 avril 2022 une déclaration du Comité européen de la protection des données (CEPD) concernant cet accord de principe entre les États-Unis et l’Union européenne. Dans ce document, nous pouvons lire entre autres que « Le CEPD se félicite de l'annonce d'un accord politique de principe entre la Commission européenne et les États-Unis le 25 mars sur un nouveau cadre transatlantique de protection des données personnelles. Cette annonce est faite à un moment où les transferts de l'Espace économique européen vers les États-Unis sont des défis importants ». Le CEPD précise par ailleurs qu’ « à ce stade, cette annonce ne constitue pas un cadre juridique sur lequel les exportateurs de données peuvent fonder leurs transferts de données vers les États-Unis. Les exportateurs de données doivent donc continuer à prendre les actions requises pour se conformer à la jurisprudence de la CJUE, et notamment à sa décision Schrems II du 16 juillet 2020 » et « que le RGPD impose à la Commission de solliciter l’avis du CEPD avant d’adopter une potentielle nouvelle décision d’adéquation reconnaissant un niveau satisfaisant de protection des données garanti par les autorités américaines ».
D’aucuns s’interrogent sur le fait de savoir si la troisième version de l’accord portant sur le transfert de données entre les États-Unis et l’UE sera concluante. A cet égard, Maximillian Schrems a déjà annoncé sa volonté d’émettre un recours dès l’entrée en vigueur du texte. Il émet les propos suivants : « Le texte final aura besoin de plus de temps, une fois qu'il sera arrivé, nous l'analyserons en profondeur, avec nos experts juridiques américains. S'il n'est pas conforme au droit de l’UE, nous ou un autre groupe le contesterons probablement. En fin de compte, la Cour de justice se prononcera une troisième fois. Nous nous attendons à ce que l'affaire revienne devant la Cour dans les mois qui suivront une décision finale. »
Pour conclure sur l’annonce relative à l’accord signé le 25 mars 2022 par Madame Ursula von Leyen et Monsieur Joe Biden concernant le transfert des données de l’UE vers les États-Unis, référons-nous à Maître Valérie Chavanne pour qui « il est encore prématuré de tenter de tirer des conclusions juridiques précises à partir d’une telle annonce qui reste éminemment politique ».
5. Glossaire
Bouclier de protection des données : Ensemble de dispositions de protection des données personnelles mises en œuvre pour contrôler l’exportation et l’exploitation de ces données à des fins commerciales (source : FranceTerme).
CNIL (Commission nationale de l’informatique et des libertés) : Autorité administrative indépendante instituée en 1978 chargée de veiller à ce que l’informatique ne porte pas atteinte aux libertés, aux droits, à l’identité humaine ou à la vie privée.
Comité européen de la protection des données (CEPD) : Organe européen indépendant dont les objectifs sont de garantir l’application cohérente des règles en matière de protection des données au sein de l’UE et d’encourager la coopération entre autorités de l’UE chargées de la protection des données.
Donnée personnelle : « Toute information qui, directement ou indirectement, peut être rattachée à une personne physique » (source : CNIL).
GAFAM : Google, Apple, Facebook et Amazon et Microsoft.
Mégadonnées ("Big Data") : «Phénomène qui fait référence à des technologies, outils, processus et procédures accessibles, permettant à une organisation de créer, manipuler et gérer de très larges quantités de données, afin de faciliter la prise de décision rapide». (Source : IDC)
Règlement général de la protection des données (RGPD) : Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
© Copyright ANDESE
Le présent document est protégé par les dispositions du code de la propriété intellectuelle. Les droits d'auteur sont la propriété exclusive d'ANDESE (Association Nationale des Docteurs ès Sciences Économiques et en Sciences de Gestion). La copie ou la reproduction (y compris la publication et la diffusion), intégrale ou partielle, par quelque moyen que ce soit (notamment électronique) sans le consentement de l’éditeur constituent un délit de contrefaçon sanctionné par les articles L. 335-2 et suivants du code de la propriété intellectuelle.