Transferts de données personnelles hors UE : n’est-il pas urgent d’attendre ?

Depuis la décision de la Cour de justice de l’Union européenne (CJUE) du 16 juillet 2020 « Schrems II », les entreprises de l’Union européenne qui transfèrent des données à caractère personnel à destination des Etats-Unis ne peuvent plus recourir au mécanisme du « Privacy Shield », invalidé par cette décision. Celle-ci heurte également les transferts de données vers les autres pays tiers de l’UE et de nombreux acteurs traversent, depuis, une période d’incertitude juridique qui perdure. Alors que les régulateurs européens peinent à mettre en cohérence une stratégie commune en la matière, les entreprises européennes doivent, tant bien que mal, déployer des stratégies de conformité face à ce nouveau cadre instable.

La rigueur des régulateurs n’offre pas de solution de conformité aux acteurs européens

Alors que l’environnement doctrinal et contentieux se contracte et que des enquêtes inquiétantes sont en cours, les régulateurs s’interrogent encore sur la répartition des rôles entre « responsable du traitement » des données et « sous-traitant » et sur le cadre applicable aux transferts de données à caractère personnel vers des pays tiers.

Suite à l’« arrêt « Schrems II », le CEPD a publié le 12 août 2020 une synthèse des positions de la CJUE, puis, le 10 novembre 2020 des recommandations sur les garanties supplémentaires à apporter lorsqu’il y a transfert de données. Ces recommandations prennent la forme d’une feuille de route en six étapes qui permet de guider les entreprises exportant des données dans leurs choix de mesures à mettre en place afin d’assurer un transfert de données garantissant un niveau équivalent à celui de l’Union européenne conformément aux dispositions du RGPD. Concurremment, le CEPD a publié à la même date un autre document qui porte des recommandations sur des mesures visant à compléter les outils de transferts internationaux afin de garantir le respect du niveau de protection des données personnelles de l’UE, et propose ainsi une marche à suivre aux organisations qui transfèrent et reçoivent des données à destination de pays dont les lois de surveillance ou de sécurité nationale n’apportent pas de garanties suffisantes. Les mesures que peuvent adopter les entreprises peuvent être contractuelles, organisationnelles ou techniques, ces deux dernières étant privilégiées par le CEPD.

A défaut de clarté et de pragmatisme, ces recommandations paraissent assez superficielles dans la mesure où elles paraphrasent l’arrêt « Schrems II » de la CJUE, qui fait peser une lourde responsabilité sur les entreprises qui transfèrent des données personnelles vers des pays tiers. En ce sens, les critères retenus par le CEPD concernant les garanties essentielles n’offrent aucune solution accessible aux entreprises, quelle que soit leur taille, qui n’ont pas les moyens d’analyser comme le ferait une Cour suprême, les lois de surveillance ou de sécurité nationale des pays tiers. Non seulement une telle analyse représenterait un coût très important pour ces dernières. Mais la détermination des conclusions d’une telle analyse ne relèvent tout simplement pas des compétences dune entreprise, tant ce type d’exercice est, noramlement, l’apanage d’une juridiction ou d’un mécanisme inter-étatique. De même, les mesures techniques proposées par le CEPD peuvent engendrer un coût significatif pour les entreprises ou être purement et simplement impraticables pour certains flux de données.

Être à l’affut de cette actualité et se conformer à ces évolutions strictes n’est pas chose aisée pour les entreprises, qui doivent être sensibilisées aux enjeux de protection des données personnelles tout en prenant conscience de leur portée et de la faisabilité de leur mise en œuvre. Au rythme de ces avancées (ou de cet engourdissement) réglementaires, les entreprises pourraient s’attendre à la création de solutions concrètes de la part des régulateurs en matière de transferts de données personnelles hors de l’Union européenne.

Les outils contractuels dépendront toujours d’un rapport de forces entre acteurs et entre normes

Au-delà de l’invalidation du mécanisme de transfert de données du « Privacy Shield » négocié avec les Etats-Unis, les répercussions de l’arrêt « Schrems II » se manifestent sur l’ensemble des mécanismes de transfert de données instaurés par l’Union européenne depuis 1995, et plus particulièrement les contrats de transfert de données personnelles élaborés par les régulateurs nationaux et adoptés par la Commission européenne.

Jusqu’à présent, ces contrats garantissaient à quiconque d’offrir une protection adéquate et suffisante, puisqu’ils reposaient sur des modèles adoptés par la Commission sur proposition commune des autorités nationales de protection des données personnelles. Ce n’est désormais plus le cas et les régulateurs s’attachent à élaborer des modèles de garanties additionnelles qui démontrent que ces contrats types sont insuffisants.

Les entreprises demeurent pourtant questionnées par des régulateurs qui réagissent à une pression médiatique les urgeant d’effectuer des contrôles. Cependant, la documentation juridique en préparation, très récemment soumise à consultation publique, n’est pas stabilisée. Des interprétations de plus en plus rigides y sont apportées, mais elles demeurent impraticables. Par exemple, le CEPD, conjointement avec le contrôleur européen de la protection des données, ont adopté des avis sur deux séries de clauses contractuelles types (« CCT ») le 15 janvier 2021, le premier portant sur les CCT pour les contrats conclus entre les responsables du traitement et les sous-traitants, et le second sur les CCT pour le transfert de données à caractère personnel vers des pays tiers. Ces dernières prévoient des garanties plus spécifiques dans le cas où les lois du pays de destination ont une incidence sur le respect des clauses, notamment en cas de demandes contraignantes de la part des autorités publiques de l’Etat tiers concerné en vue de la divulgation de données à caractère personnel. Néanmoins, et il ne s’agit ici que des prémices du déploiement d’outils à jour et adaptés aux évolutions post-Schrems II.

Une fois de plus, il faut compléter des instruments contractuels modélisés qui resteront par nature insuffisants tant qu’on exigera qu’ils aient des effets juridiques effectifs supérieurs aux lois de l’Etat tiers concerné. Voilà où nous conduisent les conflits de souverainetés qui se jouent entre des logiques de régulation différentes, notamment sur la privacy.

Les conséquences par ricochets de l’invalidation du « Privacy Shield » par la CJUE mettent chacun devant ses responsabilités, plus particulièrement le législateur et le régulateur. Dans un réflexe de surréaction, il est dès lors demandé aux entreprises de trouver des solutions que les institutions n’ont pas su trouver en premier lieu. Quant aux régulateurs, on leur reproche de ne pas avoir vu que les lois de surveillance américaines pouvaient parfois entraver les garanties résultant des mécanismes de transfert censés protéger les données personnelles. 

Quid des perspectives offertes aux entreprises européennes ?

Il appartient aux entreprises d’apporter la preuve que le droit de recours prévu en matière de libertés individuelles existe dans des Etats tiers, y compris en matière de sûreté intérieure et de lutte contre le terrorisme. Or, le RGPD prévoit que la Commission européenne est responsable de l’évaluation du caractère adéquat des lois étrangères de protection de la vie privée.

Le législateur européen n’a pourtant jamais auparavant envisagé de faire vérifier si les lois de surveillance des Etats tiers sont « RGPD compatibles » puisque par définition, les textes sécuritaires contredisent les lois sur le respect de la vie privée.

Désormais, les institutions européennes entendent exiger des entreprises européennes de se positionner sur les pouvoirs extraterritoriaux attribués aux agences américaines de renseignement par, d’une part, le Freedom Act qui fait suite au Patriot Act, et d’autre part, le Cloud Act qui permet de requérir des données partout dans le monde, dès lors qu’un fournisseur américain de services fournit une prestation. L’anti-américanisme qui anime les activistes et s’étend aux régulateurs nationaux est à la hauteur du silence assourdissant que les uns et les autres gardent quant à la question de la Chine, de la Russie, de la Turquie ou de tant d’autres pays dans l’articulation des libertés fondamentales avec des objectifs régaliens.

Juger les déséquilibres surveillance / vie privée : l’arroseur arrosé ?

Le comble a été atteint en… France. Saisi par plusieurs associations, le Conseil d’État réuni en Assemblée du Contentieux a rendu le 21 avril dernier[1] un arrêt qui confirme une décision de la CJUE du 6 octobre 2020[2] reprochant à la France de ne pas se conformer aux garanties de fond et procédurales qui devraient encadrer la conservation et l’accès proportionnés aux « métadonnées » de communication, c’est-à-dire les données générées par l’utilisation de services de « communications électroniques », que sont tenus de conserver depuis 1998 en France, les fournisseurs d’accès à internet, les hébergeurs et les fournisseurs de services en ligne : navigation sur Internet, services de messagerie, de téléphonie, géolocalisation, etc.

Comment désormais convaincre les États-Unis de leurs insuffisances alléguées en termes de protection des droits et libertés de nos concitoyens, lorsque la France est sanctionnée par la CJUE puis par le Conseil d’État, pour des griefs semblables ? Cette incohérence démontre les motivations politiques qui sous-tendent la question des transferts de données, bien loin des problématiques concrètes de conformité réglementaire qui mettent en jeu la responsabilité des entreprises européennes.

Ces dernières n’ont pas vocation à avoir un avis politique sur la constitutionnalité transverse et mondiale d’un mécanisme de surveillance. Si quelques grandes entreprises ont les moyens d’analyser cette difficulté, elle n’ont cependant pas le pouvoir de lui trouver des solutions. A titre d’exemple, pour mettre fin à un contrat commercial d’infrastructure de cloud, il faut parfois deux à trois ans pour organiser des sorties et la transition. Les petites entreprises sont plus agiles, mais le coût d’acquisition de solutions logicielles innovantes ne doit pas être trop élevé pour préserver leur compétitivité.

La proposition de règlement sur la gouvernance des espaces européens de données présentée le 25 novembre 2020 par le commissaire européen Thierry Breton, s’abstient habilement de s’embarrasser du débat complexe des transferts de données personnelles et préfère se saisir d’enjeux de souveraineté numérique et de compétitivité économique dans l’innovation. Cette stratégie peut se comprendre pour permettre à cette initiative politique d’avancer sans devoir régler en même temps les imbroglios liés aux transferts de données personnelles.

Face à ces perspectives discordantes, l’Europe ne peut s’offrir le luxe d’ignorer longtemps des arbitrages et devra édifier une cohérence réglementaire au plus vite.

Un calendrier qui manque de visibilité

Tandis qu’entreprises et régulateurs ne savent plus sur quel pied danser, la situation s’éternise, exposant ainsi ces derniers à des difficultés de plus en plus pérennes. Si la Commission européenne se saisit avec entrain d’autres pans du numérique, tels que le « Digital Services Act » et le « Digital Markets Act », il serait également temps qu’elle se concentre sur la mise en œuvre de règles spécifiques pour ces outils encore en construction, et ce d’autant plus que « Schrems II » n’a accordé aucune période de grâce aux entreprises.

Alors que les différents textes du CEPD devraient permettre aux acteurs d’y voir plus clair pour favoriser une mise en œuvre harmonisée des nouvelles règles encadrant le transfert des données hors UE, ils ouvrent, une nouvelle fois, la porte à de futures interprétations et laissent les entreprises sans consignes stables. Dans ce chaos interprétatif, il devient urgent d’établir une grille de lecture intelligible et accessible établissant les solutions appropriées et les conditions à respecter. En tout état de cause, et malgré les récentes « clarifications » de la part du CEPD, les acteurs sont peu à peu noyés par ce flot normatif qui répond à un problème par un autre problème.

A l’évidence, respecter les lignes fixées par la CJUE ne peut se borner à extrapoler des conséquences qui ne soulèvent que des interdictions ou des menaces sans se soucier du besoin de solutions praticables. Faire ce constat n’est pas une surprise puisque c’est la deuxième fois en cinq ans que l’Union européenne doit tirer les conséquences d’une décision à caractère juridictionnel qui n’apporte pas de solution à caractère institutionnel. Les seuls gagnants de cette période intermédiaire sont ceux qui font le pari du déclin et de l’impuissance de l’Union européenne. A l’évidence, ce n’est pas en sanctionnant des entreprises européennes qu’on trouvera une voie de sortie par le haut au nécessaire consensus que l’Europe et les Etats-Unis doivent trouver pour éviter un jeu de massacre qui ne protège ni nos concitoyens européens, ni nos institutions, ni nos entreprises, ni nos idéaux.


Une conférence animée par des avocats spécialistes du droit numérique pour maîtriser toute l’actualité digitale qui impacte votre entreprise


Maître Etienne Drouard
Avocat Associé

Maître Leah Picture
Avocat à la Cour
HOGAN LOVELLS

[1]https://www.conseil-etat.fr/actualites/actualites/donnees-de-connexion-le-conseil-d-etat-concilie-le-respect-du-droit-de-l-union-europeenne-et-l-efficacite-de-la-lutte-contre-le-terrorisme-et-la

[2] https://curia.europa.eu/juris/document/document.jsf?text=&docid=235490&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=11721619