Conséquences de l’invalidation duPrivacy Shield
L’interdiction juridique de transférer des données aux États-Unis
Légalité des transferts. Avant cette décision de la CJUE (aff. C-311/18) , la légalité d’un transfert de données de l’Europe vers les États-Unis reposait essentiellement sur deux mécanismes : la décision d’adéquation, dite Privacy Shield , par laquelle la Commission européenne déclarait en somme que les entreprises américaines adhérentes proposaient un niveau de protection des données équivalent à ce que l’on trouve en Europe ; et les clauses contractuelles types (CCT), qui avaient pour objet d’ajouter aux contrats conclus avec des entités américaines différentes clauses visant à protéger les données des Européens et à leur assurer de véritables recours en justice.
Bon à savoir. L’ancêtre du Privacy Shield , le Safe Harbor , avait déjà été invalidé par la CJUE. Il s’agissait d’un mécanisme très proche de celui invalidé le 16.07.2020 pour avoir repris la même effectivité de façade.
Bras de fer UE-États-Unis. Si le mécanisme du Privacy Shield , basé sur une autocertification des entreprises américaines, n’a jamais vraiment convaincu, il disposait au moins d’une effectivité théorique. Les entreprises s’engageaient à assurer un traitement des données équivalent à ce qui existe en Europe et à protéger ces dernières de tout accès illégitime, y compris à la justice américaine. Or, par un jeu d’escalade de réglementations de part et d’autre de l’Atlantique, le gouvernement américain en est venu à adopter deux textes (voir infra) lui donnant un accès quasi-total à toutes les données de toutes les entités soumises au droit américain. Dans ces conditions, et même sur le papier, le Privacy Shield ne pouvait plus prétendre assumer sa mission première.
Les actions à mettre en œuvre par les entreprises
Paradoxe juridique. Selon l’arrêt de la CJUE, il convient de mettre en place de nouveaux mécanismes visant à protéger les données personnelles des Européens d’un accès aux tribunaux américains et à la National Security Agency (NSA), tout en tenant compte du fait que ces derniers ne connaissent aucune limitation dans leur accès aux données (CJUE aff. C‑311/18 §65) .
En effet, dès lors que l’entreprise hébergeant les données est soumise au droit américain, ces entités peuvent y accéder à tout moment, sans aucune limitation ni contrôle judiciaire, notamment grâce au Cloud Act et à l’Executive Order 12333 . Les entreprises européennes n’ont donc juridiquement parlant aucune solution de repli.
À noter. Les offres cloud des acteurs américains tels que Microsoft ou Amazon ne sont pas totalement basées en Europe, contrairement à ce que laissent penser leurs documentations commerciales. Par ailleurs, la législation américaine ne tient pas compte de la localisation des données : l’accès est possible du moment que l’entreprise est américaine.
Échappatoire technique. Des solutions techniques peuvent être envisagées afin de rendre les données illisibles, le chiffrement p.ex. pour empêcher le gouvernement américain d’y accéder.
En pratique. Un chiffrement en masse des données est extrêmement coûteux et susceptible de ralentir très fortement les outils informatiques. Il faut, par ailleurs, bien choisir le type de chiffrement déployé, la NSA étant à même de casser certains algorithmes en quelques secondes.
Renforcement des garanties. Si les solutions techniques ne suffisent pas, des garanties financières sont à mettre en place afin d’indemniser les personnes dont les données personnelles ont été insuffisamment protégées : les entreprises doivent négocier une répartition de cette prise en charge avec leurs prestataires ou s’assurer solidement de façon autonome, via notamment des produits dédiés à la cybersécurité. Il est utopique d’obtenir de tels engagements financiers d’acteurs américains majeurs dont les contrats sont souvent figés. En l’absence de garanties techniques ou financières suffisantes, le responsable de traitement se doit de mettre fin aux transferts de données ou d’informer son autorité de contrôle qu’il compte les poursuivre, avec les risques que cela comporte de se mettre ainsi en lumière auprès du régulateur.