Depuis quelques années, un citoyen autrichien se bat pour faire évoluer la législation en matière de transferts de données face aux ingérences étatiques sur les données de l’Union Européenne. Accords internationaux, Privacy Shield et Cloud Act, quelles sont les réelles garanties face à l’Etat Américain ?
Le 6 octobre 2015, l’annonce de l’invalidation de l’auto-certification américaine “Safe Harbor” par la Cour de Justice de l’Union Européenne (CJUE) (1) relance les inquiétudes sur l’ingérence et l’accès des autorités américaines aux données européennes qui sont transférées sur le territoire américain. En effet, la CJUE relève à l’époque que les autorités publiques américaines peuvent accéder aux données à caractère personnel transférées de manière massive et indifférenciée, laissant les personnes concernées sans réelle garantie d’une protection effective (2). Quelques mois plus tard, le EU-U.S. Privacy Shield, accord issu des discussions entre les deux acteurs, viendra régler le 1 août 2016 les lacunes du premier texte en proposant des garanties supplémentaires mais sans réellement traiter sur le fond le problème de l’ingérence étatique (3).
Le Règlement Général sur la Protection des Données (RGPD) ne règle pas non plus ces discussions puisqu’à travers ses différents articles, il conditionne l’encadrement des transferts aux mêmes mécanismes préexistants dans la loi Informatique et libertés modifiée, à savoir, au choix : un engagement contractuel par les clauses contractuelles types (CCT), une forme de code de conduite interne avec les Règles contraignantes d’entreprise (BCR), l’existence d’une décision d’adéquation du pays receveur ou encore plusieurs exceptions légales spécifiques, relativement restrictives.
Cependant, pour la plupart de ces instruments, aucun offre de réelle garantie aux personnes concernées que les Etats n’accéderont pas à leurs données, indépendamment du cas américain. La plupart de ces mécanismes sont des engagements entre une ou plusieurs parties, parfois désuets, comme les clauses contractuelles types, qui sont censées garantir que les transferts se font dans le respect des droits des personnes concernées. En revanche, ces outils n’empêchent pas réellement un éventuel accès ultérieur par un tiers externe à cet engagement, comme typiquement les tiers habilités (autorités, gouvernement ou autres acteurs spécifiques). C’est précisément dans ce cadre là que Maximilian Schrems, après avoir porté une première affaire donnant lieu à l’invalidation de la certification américaine, questionne une nouvelle fois la pertinence de ces accords. Dans l’affaire Schrems 2.0, il interroge la CJUE sur l’applicabilité des CCT aux autorités étatiques dans le cadre de la sécurité nationale (4), ces derniers étant des tiers non tenus par ces engagements.
En attendant la décision de la CJUE, l’encadrement des transferts sur son modèle actuel impose donc un casse-tête administratif aux entreprises qui s’efforcent de s’engager dans un de ces trois mécanismes qui ne semblent pas plus protéger la personne concernée que l’ancien Safe Harbor. Si les CCT venaient à ne plus être considérées comme des mécanismes appropriés en raison de leur non-applicabilité aux autorités publiques du pays tiers concerné, alors cela risquerait d’affaiblir considérément l’approche actuelle relative aux transferts de données et de décrédibiliser également les autres mécanismes de transferts pertinents, tels que des règles d’entreprise contraignantes et les futurs codes de conduite (5).
Pourtant, l’accès aux données dans un cadre spécifique n’est pas strictement interdit. Le RGPD est plutôt clair en son article 48 : “Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre […]”. Le RGPD conditionne donc cette possibilité à l’existence d’un accord mutuel existant entre les deux Etats concernés.
Ainsi, certains accords internationaux dans le cadre de la coopération interétatique demeurent en vigueur comme l’Accord Parapluie ou Umbrella Agreement pour la prévention et détection du crime, en vigueur depuis 1er février 2017. Cet accord couvre notamment l’échange de toutes données personnelles entre les autorités compétentes à des fins de coopération judiciaire entre les U.S. et l’UE. Les transferts de données, ainsi que l’utilisation ou la réutilisation de celles-ci sont exclusivement opérés pour la finalité de prévention de crime (6).
Ces accords de coopération, aussi appelés MLAT (pour Mutual Legal Assistance Treaty) sont devenus moins performants et utilisés au cours de ces dernières années du point de vue américain. En effet, plusieurs organisations gouvernementales américaines rencontrent des freins lors d’accès à des données dans le cadre criminel. Les données stockées en cloud ne sont pas nécessairement stockées aux US lorsque le prestataire y est établi. Ainsi, l’accès peut être retardé voire refusé dans certains cas. La réponse à cette problématique a été vite résolue unilatéralement par la législation américaine avec le CLOUD Act (ou Clarifying Lawful Overseas Use of Data Act), permettant un accès direct aux données d’une entreprise américaine et de ses filiales dans la cadre d’une procédure judiciaire, et ce même si cette dernière n’est pas située sur le territoire des Etats-Unis.
Ce texte provoque une incertitude capitale sur la question des transferts de données, puisque sa portée extraterritoriale menace la confidentialité des données à caractère personnel stockées dans l’Union Européenne. Pourtant, il n’est pas sûr que l’Union Européenne se voit appliquer ces mandats extraterritoriaux d’accès américain, qui n’ont pas de portée juridique contrairement aux accords internationaux. Par contre, comment se prémunir d’accès éventuels par ricochet, pour des prestataires ou partenaires américains qui seraient soumis à la loi américaine ? Comment également apprécier les accords existants comme le Privacy Shield en matière de garanties et d’accès étatique lorsqu’il existe en parallèle un tel texte ? Il est plus que nécessaire que l’Union Européenne puisse se positionner sur la valeur des différents accords existants et la garantie réelle que ces derniers apportent, au regard des initiatives nationales comme l’exemple du Cloud Act.
(1) CNIL, “Invalidation du « safe harbor » par la Cour de Justice de l’Union européenne : une décision clé pour la protection des données”, en ligne, [6 octobre 2015], : https://www.cnil.fr/fr/invalidation-du-safe-harbor-par-la-cour-de-justice-de-lunion-europeenne-une-decision-cle-pour-la-0
(2) Cour de Justice de l’Union Européenne, No 117/15, Luxembourg, 6 Octobre 2015, Arrêt C-362/14 Maximillian Schrems v Data Protection Commissioner.
(3) PrivacyTrust, “What are the differences between EU-U.S. Privacy Shield and U.S-EU Safe Harbor?”, [en ligne], https://www.privacytrust.com/privacyshield/qa/differences-between-privacy-shield-and-safe-harbor.html
(4) The High Court Commercial, The Data Protection Commissioner and Facebook Ireland Limited And Maximilian Schrems, Request for a Preliminary Ruling, 2016 n°4809 P., question 7 : “Does the fact that the standard contractual clauses apply as between the data exporter and the data importer and do not bind the national authorities of a third country who may require the data importer to make available to its security services for further processing the personal data transferred pursuant to the clauses provided for in the SCC Decision preclude the clauses from adducing adequate safeguards as envisaged by Article 26(2) of the Directive [95/46/EC]?”
(5) CMS Law Now, ““Schrems 2.0, or the threat to data privacy contractual clauses (and not only)”, article en ligne, [23/08/2018] : http://www.cms-lawnow.com/ealerts/2018/08/schrems-2-0?cc_lang=en
(6) Agreement between the United States of America and the European Union on the protection of personal information relating to the prevention, investigation, detection, and prosecution of criminal offences, OJ L 336, 10.12.2016, p. 3–13, article 1 et article 6.