Dans le cadre de son rôle d’organe consultatif, le Groupe de travail « Article 29 », composé de l’ensemble des autorités de protection des données personnelles des pays membres de l’Union Européenne, a publié le mercredi 13 avril 2016 son avis sur le « Privacy Shield », ce nouvel accord censé régir le transfert de données personnelles entre les Etats-Unis et l’Union européenne après la chute du « Safe Harbor ».

Privacy_Shield_Datenschutz-595x440Pour rappel, le 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a rendu un arrêt qui a invalidé le programme Safe Harbor (« sphère de sécurité ») qui autorisait les flux de données personnelles européennes vers les Etats-Unis. Concrètement, le Safe Harbor était un « label de confiance » créé par la Commission européenne (décision n°520/2000/CE du 26 juillet 2000) pour autoriser les entreprises américaines à « auto-certifier » auprès des autorités américaines (i) qu’elles se conformaient au niveau de protection légal exigé en Europe, et (ii) qu’elles appliquaient les règles listées au sein du label.

Cette décision a ainsi créé un vide juridique pour des milliers d’entreprises qui avaient consenti à de nombreux transferts de données outre-Atlantique, notamment via les services Cloud édités par des professionnels américains et/ou hébergés aux Etats-Unis. Or, ces éditeurs de services applicatifs distants (dont les plus connus comme ceux de Google, IBM, SalesForce ou encore SAP), tout comme les hébergeurs comme Oracle, traitent depuis des années de très nombreuses données personnelles de ressortissants français (qu’il s’agisse d’utiliser une messagerie d’entreprise, un service de gestion des carrières ou une solution CRM pour ne donner que quelques exemples).

Le 29 février 2016, la Commission européenne a rendu publics les documents juridiques qui instaureront le « bouclier de protection des données UE-Etats-Unis » (Privacy Shield), lequel est présenté comme offrant des « garanties solides pour restaurer la confiance dans les transferts transatlantiques des données ».

Si à terme, la décision finale de l’adoption de cet accord reviendra au Collège des commissaires européens, ce dernier ne se prononcera qu’après consultation d’un comité composé de représentants des États membres et après avis des autorités européennes chargées de la protection des données (le susmentionné « groupe de travail article 29 »). Mais sans attendre ces dernières étapes, il est possible de prendre connaissance de l’analyse juridique de l’accord Privacy Shield donnée par le G29, qui s’est référé à la directive 95/46/CE (encore en vigueur dans l’attente de l’entrée en vigueur du Règlement Européen) à l’article 8 de la Convention sur les droits de l’Homme (CESDH) et aux articles 7 et 8 de la Charte des droits fondamentaux de l’UE notamment.

En substance, cette analyse, qui ne débouche cependant que sur un avis purement consultatif, veut vérifier si les transferts de données personnelles qui seront réalisés sur le fondement du Privacy Shield respecteront un niveau de protection conforme aux exigences européennes.

Ainsi, dans son avis publié le 13 avril 2016, le G29 a d’abord souligné « les améliorations significatives apportées par le Privacy Shield par rapport à la décision Safe Harbor de 2001 ». Selon Isabelle Falque-Pierrotin, présidente du G29, le Privacy Shield constitue « un grand pas en avant » par rapport au Safe Harbor. En conférence de presse à Bruxelles, la présidente du G29 et de la CNIL en France, observe que sur le volet commercial de l’accord, « des efforts ont été faits pour mieux définir les droits et encadrer le transfert des données personnelles ».

Les améliorations concerneraient l’insertion de définitions clés dans ce nouvel accord et la mise en place de mécanismes destinés à assurer le contrôle du respect des principes garantis par le Privacy Shield, notamment le déploiement d’audits de conformité internes et externes.

L’enthousiasme du G29 semble néanmoins s’arrêter là. En effet, il souligne d’abord « un manque général de clarté » du texte, les principes et garanties apportés par le Privacy Shield se retrouvant à la fois dans la décision d’adéquation et dans ses annexes censées les expliciter et les préciser. A cet égard, Mme Falque-Pierrotin a expliqué qu’il est « difficile de comprendre tous les documents et les annexes. Il n’y a pas un seul document mais plusieurs, ainsi que des annexes et des courriers. Certains se contredisent. ».

Il semble donc que pour les autorités spécialistes elles-mêmes de ces questions, le Privacy Shield n’apporte aucune clarification quant aux mécanismes qui ont pourtant pour vocation de permettre aux entreprises françaises et européennes de s’assurer que les prestataires et services distants auxquels elles recourent se conforment bien à la législation européenne. On semble donc passer ce qui n’était plus qu’une pétition de principe relativement vide de sens, à une complexité documentaire largement dispensable.

En ce qui concerne le volet commercial, le G29 estime que « d’importantes préoccupations demeurent », et déplore notamment que les principes clés de la protection des données tels que définis en droit européen n’ont pas leur équivalent dans la décision d’adéquation ou les annexes et ont été remplacés de façon inadéquate par des notions alternatives (comment donc rendre impératifs les concepts européens s’ils ne reçoivent pas un commencement d’explication et de traduction ? Comment s’assurer que les autorités américaines appliqueront correctement les concepts de la législation européenne s’ils ne figurent pas dans la décision d’adéquation ou les critères de son attribution ?). Le Groupe de travail regrette en particulier que :

  • Les modalités d’application du principe de finalité limitée du traitement de données ne soient pas claires (alors qu’il s’agit bien de « fermer » un périmètre d’utilisations autorisées) ;
  • L’absence de mention expresse du principe de durée de conservation limitée des données, lequel ne peut se déduire de façon précise en l’état des documents analysés (ce qui ruine en pratique la notion de durée maximale de conservation si celle-ci est sujette à interprétation…) ;
  • L’absence de dispositions dédiées à la protection qui devrait être offerte lorsque les décisions individuelles automatisées sont prises sur le seul fondement d’un traitement automatisé de données (on laisse donc la porte ouverte à des décisions intégralement automatisées prises par des algorithmes sur la base des données personnelles) ;
  • Le caractère complexe du mécanisme de recours offert aux individus qui risque d’être difficile à mettre en pratique, notamment parce qu’il ne pourrait s’exercer qu’en anglais (ce qui ruine en pratique la notion même de recours, et on s’étonne qu’un point aussi grossièrement défavorable à la protection des personnes ait pu être accepté, jetant le soupçon sur l’ensemble des travaux).

En ce qui concerne l’accès par les autorités publiques aux données transférées dans le cadre du Privacy Shield, le G29 déplore que les autorités américaines n’aient pas apporté d’éléments suffisamment précis pour écarter la possibilité d’une surveillance massive et indiscriminée des données des citoyens européens. Dans le doute, on doit donc plutôt considérer qu’en l’état, et malgré l’affaire « Facebook / Max Schrems » ayant conduit à l’invalidation du Safe Harbor, le grief demeure entier.

Par ailleurs, bien que doutant qu’il dispose d’une indépendance et de pouvoirs suffisants pour exercer son rôle efficacement, le groupe de travail salue la mise en place d’un médiateur (« Ombudsperson »), dont on remarquera cependant qu’il procède d’une conception anglo-saxonne, ce qui là encore en dit long sur le poids des conceptions européennes de la protection des données personnelles, et dans la négociation de ce « bouclier ».

En conséquence, si le G29 prend note d’améliorations apportées par le Privacy Shield par rapport au Safe Harbor, il souligne en réalité l’imprécision de ces apports, et insiste surtout sur les occasions manquées, et par conséquent les problèmes que ce Privacy Shield ne résout pas. Le G29 a donc logiquement invité la Commission européenne à apporter les précisions nécessaires afin d’améliorer le projet de décision d’adéquation et garantir un niveau de protection des données personnelles essentiellement équivalent au niveau exigé par l’Union européenne.

Il semble qu’on soit encore loin du compte.