L’UE exporte les droits des personnes qu’elle garantit au sein de l’Union lors de transfert de données vers des pays tiers : la vie et la mort du Safe Harbor, par Killian LEFEVRE

Les révélations de M. Edward Snowden en 2013 ont dévoilé au grand jour la surveillance massive des européens orchestrée par les autorités américaines. Le scandale qui s’en est suivi n’en finit pas de faire des vagues ; le 6 octobre dernier, c’est le Safe Harbor entier qui a été emporté. Cet accord conclu entre la Commission européenne et le Gouvernement américain reprenait les règles fondamentales du droit européen en matière de protection des données personnelles. Par la Décision 2000/520 du 26 juillet 2000, la Commission européenne a reconnu le Safe Harbor comme assurant une protection suffisante aux données personnelles. Ainsi, des milliers d’entreprises américaines et européennes pouvaient procéder à des échanges de données sur le fondement de cette décision. Dans un arrêt en date du 6 octobre 2015, la Cour de Justice de l’Union européenne a invalidé la décision de la Commission : l’exportation de données vers les entreprises américaines qui respectent le Safe Harbor est désormais illégale.

En quoi l’invalidation de la Décision 2000/520 et la suppression du Safe Harbor témoignent de la volonté de l’Union européenne de préserver ses valeurs et d’exporter ses normes ? Nous verrons d’abord comment le droit européen a prévu de garantir de manière uniforme les droits des citoyens de l’Union lors du traitement de leurs données, en dehors de l’UE comme à l’intérieur de celle-ci. Puis, nous nous intéresserons aux raisons ainsi qu’aux conséquences pour les modalités légales de transfert de données outre-Atlantique et les intérêts des entreprises de l’affirmation par le juge européen de la primauté des droits des personnes sur les échanges commerciaux.

 

Le droit européen prévoit la garantie uniforme des droits des citoyens de l’Union au-delà de ses frontières

 

Le transfert de données à caractère personnel peut être défini comme « toute communication, copie ou déplacement de données par l’intermédiaire d’un réseau, ou toute communication, copie ou déplacement de ces données d’un support à un autre, quel que soit le type de ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans le pays destinataire »[1].

 

Le principe du niveau de protection « adéquat » posé par la Directive 95/46/CE

En Europe, le transfert de données entre Etats membres de l’Union européenne ou vers un pays de l’Espace économique européen est libre. C’est la Directive 95/46/CE en date du 24 octobre 1995 qui a harmonisé les législations dans le but d’éliminer les obstacles aux échanges des données nécessaires au fonctionnement du marché intérieur. Il en va autrement pour tout transfert à destination d’un pays tiers, c’est-à-dire tout transfert de données entre un Etat membre de l’Union européenne et un pays extra-communautaire. La directive européenne a conditionné ce type de transfert  à un contrôle a priori d’adéquation entre les systèmes.

En effet, le droit européen garantit d’abord l’existence d’une protection équivalente de haut niveau des données dans tous les Etats membres de l’Union. En ce sens, qu’elles fassent l’objet de traitement en Allemagne ou en Croatie, les données à caractère personnel sont protégées de manière égale. Autrement dit, les droits des personnes sur leurs données sont identiques et garantis à l’identique partout au sein de l’Union européenne. Ensuite, le droit européen a érigé le principe selon lequel ce même niveau de protection, et donc de droits des personnes, doit être garanti lors du traitement de données de citoyens européens en dehors de l’Union : c’est le principe du niveau de protection « adéquat ». Introduit par la Directive 95/46 (article 25), le principe du niveau de protection « adéquat » signifie que des données à caractère personnel ne peuvent être sujettes à un transfert vers un pays non membre de l’Union européenne que si le pays en question assure aux données un niveau de protection équivalent à celui offert dans l’Union.

On retrouve ce principe dans le droit interne de chaque Etat membre de l’Union, dont notamment le droit français qui dispose que les données à caractère personnel ne peuvent être sujettes à un transfert vers un pays non membre de l’Union européenne que si le pays en question « assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet » (article 68 de la Loi n° 78-17 du 6 janvier 1978 dite « informatique et libertés », modifiée par la Loi n°2004-801 du 6 août 2004 qui a transposé la directive européenne en droit interne). En ce sens, seuls les pays qui garantissent le niveau de protection requis par le droit européen sont en mesure de recevoir des transferts de données en provenance de l’Union européen. Autrement dit, on doit retrouver dans ces pays destinataires les mêmes droits des personnes sur leurs données que ceux garantis par le droit européen dans chaque Etat membre de l’Union. Et c’est à la Commission européenne que la Directive 95/46 (article 25-6) a conféré ce pouvoir de contrôle a priori d’adéquation, et le pouvoir de décision qui en résulte ; en effet, c’est aux commissaires européens qu’il revient de constater ou non qu’un pays tiers assure le niveau de protection exigé.

C’est alors par la mise en œuvre antérieure à l’exportation de données d’un contrôle d’adéquation entre les systèmes que le droit européen prévoit la garantie uniforme des droits des citoyens de l’Union au-delà de ses frontières. On peut dire que le principe du niveau de protection « adéquat » s’illustre alors comme un mécanisme d’extra-territorialisation des droits des personnes offerts par le droit européen en matière de protection des données à caractère personnel.

 

Actuellement, le niveau d’adéquation requis est assuré par une poignée de pays seulement, dont le Canada (Décision 2002/2/CE de la Commission, 20 décembre 2001), l’Argentine (Décision 2003/490/CE de la Commission, 30 juin 2003), Guernesey (Décision 2003/821/CE de la Commission, 21 novembre 2003), l’Ile de Man (Décision 2004/411/CE de la Commission, 28 avril 2004), la Suisse (Décision 2000/518/CE de la Commission, 28 juillet 2000), et, il y a encore quelques mois, les Etats-Unis sur le fondement de la Décision 2000/520/CE du 26 juillet 2000.

 

Le Safe Harbor et la Décision 2000/520, une mise en œuvre conforme du principe ?

Le Safe Harbor, ou « sphère de sécurité », a été créé par le Gouvernement américain pour permettre aux entreprises américaines d’opérer des transferts de données entre l’Union européenne et les Etats-Unis en répondant de manière satisfaisante aux exigences européennes en matière de protection des données à caractère personnel. Son régime reposait sur des principes qui, négociés entre l’Union européenne et les Etats-Unis, se fondaient sur les principes énoncés dans la Directive 95/46. Dès lors qu’une entreprise américaine importatrice de données européennes avait adhéré au dispositif du Safe Harbor, le transfert de données était autorisé.

En effet, la Commission européenne et le Ministère du Commerce américain se sont mis d’accord sur un certain nombre de principes appelés « Safe Harbor Principles ». Ces derniers étaient calqués sur les fondamentaux dégagés par le droit européen pour la protection des données à caractère personnel. Dans les principes du Safe Harbor on retrouvait par exemple l’obligation de recueillir au préalable le consentement des « data subjects » pour tout traitement concernant des données sensibles ([2]), ou encore le droit d’accès aux données offert aux internautes par le droit de l’Union européenne (Directive 95/46, article 12). En ce sens, le Safe Harbor se présentait comme pouvant assurer aux données transférées sur le territoire américain un niveau de protection identique à celui offert dans l’Union. Alors, la Commission européenne a reconnu l’existence de ce niveau de protection équivalent ; elle a déterminé que le Safe Harbor assurait une protection « adéquate » aux données à caractère personnel transférées aux Etats-Unis : c’est la Décision 2000/520 du 26 juillet 2000. Ainsi, le transfert de données entre un Etat membre de l’Union européenne et les Etats-Unis était conforme au droit européen.

Le Safe Harbor a permis aux entreprises européennes de conclure des accords avec des prestataires aux Etats-Unis. Le Safe Harbor a aussi permis aux grands acteurs américains du numérique tels que les « GAFAM » (Google Apple Facebook Amazon Microsoft) de transférer hors de l’Union européenne des données personnelles collectées au sein de l’Union européenne. Cependant, l’adéquation du Safe Harbor avec le droit de l’Union européen ne signifiait pas que le droit américain protégeait les données des citoyens européens comme elles le sont au sein de l’Union ou comme elles peuvent l’être dans un autre pays tiers. En effet, ce ne sont pas les Etats-Unis que la Commission a reconnu comme assurant un tel niveau de protection mais les principes du Safe Harbor. Et l’adoption de ces principes se faisait de manière volontaire par les entreprises américaines souhaitant s’y conformer pour procéder à des échanges de données avec des pays européens. En ce sens, le Safe Harbor n’était ni une règlementation ni un dispositif obligatoire. Il garantissait un niveau de protection des données en adéquation avec celui offert au sein de l’Union, mais seulement dans les entreprises destinataires qui avaient fait le choix d’adopter un tel niveau de garantie des droits.

Par conséquent, le Safe Harbor était d’abord le reflet d’une approche américaine qui préfère de loin la voie de l’autorégulation et du contrat (aux Etats-Unis, la législation en matière de protection des données personnelles se limite à quelques lois sectorielles) à la voie de la réglementation, plus typique de l’Union européenne. Ensuite, le Safe Harbor constituait, en somme, un mécanisme d’extra-territorialisation des droits très différent de celui initialement prévu par l’Union européenne. Outre-Atlantique la protection des données, et donc la garantie des droits des personnes offerts par le droit européen, étaient assurées par des entreprises et non pas par la loi.

De fait on peut se demander si le Safe Harbor et la Décision 2000/520 constituent une mise en œuvre conforme du principe du niveau de protection « adéquat » établi par le droit européen ; ce que fit un citoyen européen, M. Schrems.

 

Le juge européen affirme la primauté des droits des personnes sur les échanges commerciaux

 

En juin 2013, Maximillian Schrems, citoyen autrichien et utilisateur de Facebook, s’est plaint au Data Protection Commissioner irlandais de l’absence de protection des données quand Facebook opère des transferts, à partir de sa filiale irlandaise, vers sa société mère située sur le territoire américain. Selon lui, l’existence de programmes de surveillance tels que « Prism » de la National Security Agency (NSA) dépossède les données de toute protection juridique réelle.

 

L’arrêt Schrems : l’invalidation de la Décision 2000/520 par la CJUE

Les transferts de données réalisés par Facebook avaient pour base l’adhésion de l’entreprise américaine au Safe Harbor. En raison de la Décision 2000/520, l’autorité irlandaise a rejeté la plainte déposée par Schrems. Saisie de l’affaire, la High Court of Ireland a demandé à la Cour de Justice de l’Union européenne, sous la forme d’un renvoi préjudiciel, de se prononcer sur l’interprétation du droit européen en cause : la décision de la Commission a-t-elle pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant un défaut de protection suffisante dans un pays tiers et, le cas échéant, de suspendre le transfert de données contesté ?

La Cour a estimé que « l’existence d’une décision de la Commission constatant qu’un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle ». Au visas de la Charte des droits fondamentaux et de la Directive 95/46, la CJUE a ainsi confirmé que les autorités nationales de protection sont les garants des droits reconnus aux personnes par les textes européens et que leurs pouvoirs d’examiner « en toute indépendance si le transfert des données d’une personne vers un pays tiers respecte les exigences » ne souffrent d’aucun tempérament, même en présence d’une décision de la Commission. En ce sens, elle invalide l’article 3 de la décision qui de manière indue restreignait ces pouvoirs et donc le bon fonctionnement des mécanismes de garantie prévus par le droit européen.

La Cour a ensuite déclaré invalide l’article premier de la décision en constatant qu’il se borne à présenter le Safe Harbor sans développer en quoi il assure effectivement un niveau de protection « substantiellement équivalent à celui garanti au sein de l’Union ». Concluant à un manque de motivation, les juges n’ont pas estimé nécessaire de vérifier si ce régime assure un tel niveau de protection. Ils ont préféré relever qu’intrinsèquement la décision n’a pu au fil des années protéger les droits des personnes face aux pratiques de surveillance des autorités américaines, et que sans garde-fou juridique en place pour l’exercice de ces droits elle ne peut continuer à légaliser des transferts vers les Etats-Unis. En effet, la Cour a souligné le fait que le régime du Safe Harbor fût uniquement applicable aux entreprises américaines qui y souscrivent « sans que les autorités publiques des Etats-Unis y soient elles-mêmes soumises ». Or, on l’a vu précédemment, cela contraste beaucoup avec le mécanisme d’extra-territorialisation des droits initialement prévu par l’Union européenne. La Cour a retenu que cette divergence ouvre inévitablement la porte à des ingérences par les autorités publiques dans les droits des personnes, notamment lorsque des exigences relatives à la sécurité nationales, à l’intérêt public et au respect des lois s’appliquent.

Par conséquent, le 6 octobre 2015 la CJUE a déclaré la Décision 2000/520 invalide. Elle a souligné qu’elle seule était compétente pour statuer sur une décision de la Commission ; avec l’arrêt Schrems elle met en œuvre cette compétence exclusive et préserve les valeurs de l’Union européenne en matière de protection de la vie privée et de protection des données personnelles.

 

La Directive 95/46 a harmonisé les législations européennes dans le but d’éliminer les obstacles aux échanges des données nécessaires au fonctionnement du marché intérieur. La Décision 2000/520 représentait elle aussi un enjeu économique majeur, les échanges de données entre l’Union européenne et les Etats-Unis. Alors, on peut s’interroger sur les conséquences pour ces échanges de l’invalidation de cette décision.

 

L’Europe privilégie le droit à la vie privée, quel avenir pour les échanges de données ?

Suivant une l’histoire qui semblait toute écrite dans les conclusions de l’avocat général Yves Bot, la CJUE a invalidé la décision de la Commission qui autorisait de jure les transferts de données entre les Etats membres de l’Union et les Etats-Unis. Avec l’arrêt Schrems la Cour de Justice enterre de facto le dispositif du Safe Harbor. Or, ce dernier était utilisé par des milliers d’entreprises pour opérer des transferts de données entre l’Europe et les Etats-Unis. Les intérêts de ces entreprises subissent désormais les conséquences de l’invalidation de la Décision 2000/520.

En effet, les intérêts des entreprises sont impactés de manière substantielle et immédiate par la suppression du fondement juridique à l’exportation des données : l’invalidation de la Décision 2000/520 signifie que tout transfert vers les Etats-Unis sous l’égide du Safe Harbor est désormais illicite. Les acteurs économiques concernés, des deux cotés de l’Atlantique, ne peuvent plus s’en servir pour leurs échanges de données. En ce sens, afin de maintenir ces échanges, les entreprises n’ont d’autre choix que d’œuvrer pour la mise en place de bases légales alternatives permettant le transfert de données vers un pays tiers. Qu’elles soient européennes ou américaines, les entreprises vont alors soit inclure dans leurs contrats commerciaux des clauses contractuelles types soit établir des codes de conduite internes, pour pouvoir continuer à transférer des données aux Etats-Unis.

Toutefois, qu’il s’agisse des « EU model clauses » ([3]) ou de « binding corporate rules », le risque de violation sur le sol américain de la protection des données à caractère personnel est toujours présent. En effet, ces autres bases légales sont elles aussi susceptibles d’être soumises à des dispositions d’ordre public locales contraires à l’engagement de respect du droit européen qu’elles représentent. Autrement dit, les entreprises qui transfèrent des données sous leur égide courent le risque d’être visées par une enquête de l’autorité de contrôle compétente et de se voir sanctionnées pour ces échanges. Cela pose alors la question de l’avenir des échanges commerciaux entre l’Union européenne et les Etats-Unis en matière de données, des échanges mis en suspens dans la plupart des cas. Cela pose aussi la question de la pérennité de ces outils, qui sont pour l’heure les seules alternatives existantes. Deux réponses antagonistes ont d’abord été apportées : l’autorité allemande de protection a considéré que ces outils n’étaient déjà plus utilisables, alors que le G29 ([4]) a affirmé la validité de ces outils au moins jusqu’au 31 janvier 2016. Puis, en novembre la Commission a publié une communication dans laquelle elle se fixe un délai de trois mois pour proposer une solution concrète à offrir aux entreprises.

L’arrêt de la Cour confronte donc les entreprises à une immense incertitude quant à l’avenir des échanges de données UE/USA tant les modalités légales de transfert sont bouleversées. Cependant, il débloque une situation qui juridiquement n’était plus tenable au regard du droit européen qui prévoit la garantie uniforme des droits des citoyens de l’Union au-delà de ses frontières et de la « réalité dévoilée » de la protection assurée aux données personnelles outre-Atlantique. En ce sens, le juge européen affirme la primauté des droits des personnes sur les échanges commerciaux.

 

L’Union européenne a entamé des négociations avec les Etats-Unis pour la création d’un nouveau cadre visant à apporter une sécurité juridique aux entreprises tout en protégeant les droits fondamentaux des citoyens de l’Union lorsque leurs données sont transférées vers les États-Unis. Dans un communiqué du 29 février 2016, la Commission européenne a présenté les documents juridiques d’un nouvel accord intitulé « EU-US Privacy Shield ». Ce « bouclier de protection » impose des obligations renforcées aux entreprises américaines souhaitant utiliser des données personnelles provenant de l’Union Européenne, il contraint les États-Unis à s’engager à ce que l’accès des autorités publiques aux données transférées soit limité et encadré, et il ouvre une voie de recours pour les citoyens européens sur le sol américain. En ce sens, il semble respecter le niveau de protection exigé par le droit européen et la CJUE, et renforce les droits de citoyens de l’Union aux Etats-Unis sous la pression européenne.

On peut en conclure que l’Union européenne a instauré un mécanisme d’exportation du droit européen vers des pays tiers afin de protéger la vie privée et les données à caractère personnel de ses citoyens lorsque ces données sont transférées à l’extérieur de l’Union. Ainsi, elle préserve ses valeurs, en dehors de son territoire comme à l’intérieur de celui-ci, et apparaît comme l’instigatrice d’une uniformisation des droits dans ce domaine.

 

Bibliographie

Textes officiels

  • Loi n°78-17, 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés
  • Loi n°2004-801, 6 août 2004, relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel
  • Directive 95/46/CE du Parlement et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
  • Décision 2000/520/CE de la Commission, du 26 juillet 2000, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des Etats-Unis d’Amérique
  • Charte de droits fondamentaux de l’Union Européenne, 7 décembre 2000
  • Opinion du G29 réuni à Bruxelles le 16 octobre 2015 sur l’invalidation du Safe Harbor
  • Communication de la Commission au Parlement européen et au Conseil concernant le transfert transatlantique des données à caractère personnel conformément à la directive 95/46/CE suite à l’arrêt de la Cour de Justice dans l’affaire C-362/14 (Schrems), COM(2015) 566 final, 6 novembre 2015

Arrêt

  • CJUE Maximillian Schrems c/ Data Protection Commissioner, 6 octobre 2015, affaire C-362/14

Communiqués

  • Conclusions de l’avocat général dans l’affaire C-362/14, Maximillian Schrems c/ Data Protection Commissioner, 23 septembre 2015, Communiqué de presse n°106/15
  • La Commission européenne présente le paquet « bouclier de protection des données UE-Etats-Unis » : des garanties solides pour restaurer la confiance dans les transferts transatlantiques de données, 29 février 2016, Communiqué de presse

Ouvrages

  • Christiane Féral-Schuhl, « Cyberdroit, le droit à l’épreuve d’Internet », 6ème édition, Praxis Dalloz, Paris 2010
  • Vincent Fauchoux, Pierre Deprez, Jean-Michel Bruguière, « Le droit de l’Internet », 2e édition, LexisNexis, Paris 2013 


Sites internet

  • Cnil.fr
  • Europa.eu
  • Legifrance.fr
 

[1] Définition de la Commission nationale informatique et liberté (CNIL), à défaut de définition dans le droit européen et la loi française.

[2] Les « données personnelles sensibles » font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.

[3] « EU model clauses », ou « SCC » (« standard contractual clauses »), est le nom communément utilisé pour désigner les « clauses contractuelles appropriées » mentionnées par l’article 26-2 de la Directive 95/46/CE pour le transfert de données vers un pays tiers qui ne répond pas aux exigences européennes. En pratique il suffit aux parties en l’espèce de contracter aux termes des clauses contractuelles types publiées par la Commission européenne depuis le 15 juin 2001.

[4] Un groupe de travail et comité consultatif composé de représentants des autorités nationales de chaque Etat membre de l’Union en charge de la protection des données à caractère personnel. C’est l’article 29 de la Directive 95/46/CE qui lui a donné naissance, et son nom. Il contribue à l’élaboration des normes, rend des avis et conseille la Commission européenne sur tout projet ayant une incidence sur la protection des données et des libertés des personnes.