Safe Harbour : ce que le jugement de la CJUE va changer (ou pas)
Il y a deux semaines, l’avocat général de la Cour de justice de l’Union européenne (CJUE) a rendu une opinion intéressante dans laquelle il estime que le Safe Harbour – l’accord entre l’UE et les États-Unis permettant aux sociétés privées de ces derniers d’importer et de traiter sur leur sol des données des citoyens européens – ne valait plus rien et que, par conséquent, il devait être invalidé.
Que va-t-il se passer ?
La CJUE rend son jugement demain et, au vu de sa pratique, il y a de fortes chances pour qu’elle suive l’opinion de son avocat général. Que va-t-il se passer si la CJUE déclare que le Safe Harbour ne vaut plus rien et que les États-Unis ne sont plus un pays digne de confiance en matière de protection des données, et ce, depuis des années ?
Il y a un risque qu’en cas de suspension ou de dénonciation du Safe Harbour par les autorités européennes et suisses, les autorités nationales de protection des données (fédérales et cantonales pour la Suisse) interdisent formellement les transferts de données vers les États-Unis, par exemple les transferts effectués par des entreprises dont on sait qu’elles ont collaboré ou qu’elles collaborent avec les autorités américaines qui mettent en œuvre une surveillance de masse.
A ce stade, il faut quand même relever l’hypocrisie des autorités européennes qui interdiraient ces transferts vers les États-Unis en raison de la surveillance de masse que ces derniers opèrent alors que la France et le Royaume-Uni, entre autres, font de même avec ces données de citoyens européens. Cela ressemble fort à du “protectionnisme digital sécuritaire”. On ne voudrait quand même pas que d’autres États opèrent une surveillance de masse identique à la nôtre, qui plus est sur des données qu’on leur fournirait sur un plateau. Soyons sérieux !
Aujourd’hui, il y aurait près de 4'500 entreprises américaines “certifiées” conformes au Safe Harbour, selon la liste du Département du Commerce américain.
Si la CJUE suit l’opinion de l’avocat général, ces entreprises devront trouver une autre base légale afin de transférer les données des Européens vers les États-Unis. Cela mènera sûrement à des conflits de compétences et de législations, du type de celui concernant Microsoft qui se retrouve coincé entre un mandat de perquisition américain lui ordonnant de fournir des données situées en Irlande, et le droit européen qui lui interdirait de fournir ces données.
Pas grand chose
Cependant, les quelque 4'500 sociétés concernées ne feront que perdre un privilège qui leur permettait de transférer librement les données depuis l’Europe. Comme je l’expliquais ici, le système tient sur l’articulation des art. 25 et 26 de la Directive 95/46/CE.
Article 25
1. Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l’objet d’un traitement, ou destinées à faire l’objet d’un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.
2. Le caractère adéquat du niveau de protection offert par un pays tiers s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d’origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.
[…]
Article 26
1. Par dérogation à l’article 25 et sous réserve de dispositions contraires de leur droit national régissant des cas particuliers, les États membres prévoient qu’un transfert de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25 paragraphe 2 peut être effectué, à condition que:
a) la personne concernée ait indubitablement donné son consentement au transfert envisagé
ou
b) le transfert soit nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à l’exécution de mesures précontractuelles prises à la demande de la personne concernée
ou
c) le transfert soit nécessaire à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers
ou
d) le transfert soit nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d’un intérêt public important, ou pour la constatation, l’exercice ou la défense d’un droit en justice
ou
e) le transfert soit nécessaire à la sauvegarde de l’intérêt vital de la personne concernée
ou
f) le transfert intervienne au départ d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier.
2. Sans préjudice du paragraphe 1, un État membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25 paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.
[…]
A la lecture de l’art. 26 al. 1 et 2 de la directive, on se rend bien compte que les transferts de données ne vont pas cesser et que les entreprises américaines concernées par le Safe Harbour pourront quand même poursuivre les transferts vers les États-Unis à certaines conditions. (Pour la Suisse, c’est l’art. 6 LPD et les art. 5 et suivants OLPD qui sont applicables.)
Il suffirait donc, par exemple, qu’elles informent préalablement et explicitement (i. e. pas seulement dans leurs conditions générales) la personne concernée par le transfert de données personnelles que celles-ci vont être transférées vers les États-Unis.
Ou qu’elles prévoient la mise en place de garanties suffisantes dans leurs conditions générales d’utilisation (transborder data flow agreement) ou dans tout autre type de document contractuel.
Les sociétés américaines ne sont cependant pas enclines à fournir ces garanties (de confidentialité et de sécurité, notamment). Quant au consentement préalable et exprès, il peut être retiré en tout temps, ce qui pourrait poser certains problèmes aux sociétés qui devraient alors interrompre immédiatement le flux de données.
Coup d’épée dans l’eau ?
En définitive, du point de vue légal, il n’est vraiment pas certain que la suspension et/ou la dénonciation du Safe Harbour ne changent quoi que ce soit à la situation actuelle. Des cautèles existent pour poursuivre les transferts de données, certes plus contraignantes que le cadre du Safe Harbour, mais elles sont de loin pas insurmontables.
Le point positif que pourrait cependant amener la fin du Safe Harbour est l’obligation (pratique, non juridique) des sociétés américaines d’investir dans des data centers en Europe afin d’y stocker et d’y traiter les données des citoyens européens (et suisses). Mais le problème des conflits de lois entre États-Unis et Europe demeureront pour les sociétés américaines.
Ce serait le seul changement notable à cette victoire de principe qui ne se résumerait, finalement, qu’à un joli pied de nez destiné aux États-Unis. A titre personnel, cela me suffirait presque.