Dans un récent communiqué de presse (en allemand uniquement), Stefan Brink, commissaire du Land de Bade-Wurtemberg chargé de la protection des données et de la liberté d'information, a exprimé ses critiques à l'égard du décret du président américain Joe Biden sur les transferts de données.
Pour être clair, le commissaire n'est pas l'autorité de protection des données du Bade-Wurtemberg et ses positions ne reflètent pas nécessairement celles de l'autorité. Il est cependant la première institution européenne de protection de la vie privée à commenter le décret, et ses critiques méritent donc d'être prises en compte. Mais tout d'abord, nous avons besoin d'un peu de contexte.
(Mise à jour : apparemment, le Parlement européen n'est pas non plus très favorable au décret. En mai 2023, l'institution a voté contre le nouveau cadre de transfert de données dans une résolution non contraignante)
Découvrons-le !
Les suites de Schrems II
Nous avons déjà largement abordé la question des transferts de données ici, alors voici l'histoire en quelques mots. En 2020, la Cour de justice de l'UE a rendu son arrêt Schrems II, qui a fait date. Cet arrêt a rendu les transferts de données vers les États-Unis délicats pour les entreprises de l'EEE, et ce pour plusieurs raisons.
Avant cet arrêt, les données personnelles pouvaient être transférées aux États-Unis sur la base d'un cadre de transfert de données appelé Privacy Shield. La Cour de justice a invalidé ce cadre dans l'arrêt Schrems II, obligeant les entreprises à recourir à différents outils pour exporter légalement leurs données.
La plupart des entreprises doivent s'appuyer sur des clauses contractuelles types (CCN). Les CCN sont un ensemble de clauses juridiquement contraignantes rédigées par la Commission européenne, qui doivent être intégrées dans un contrat juridiquement contraignant avec le destinataire des données. Toutefois, les CSC ne lient pas l'État destinataire. Cela pose problème : La surveillance américaine est au cœur de l'affaire Schrems, et les CSC ne peuvent empêcher la NSA d'accéder aux données européennes.
L'arrêt Schrems II traite également des CSC et examine leur validité en tant que mécanisme de transfert de données. La Cour a estimé que les CSC constituent un mécanisme valable pour les transferts de données, même lorsqu'il s'agit d'États "peu sûrs", à condition que le responsable du traitement des données mette en œuvre des garanties supplémentaires efficaces pour protéger les données. Dans la pratique, cela est difficile à faire et totalement impossible pour certains types de transferts. La Cour a donc essentiellement "épargné" les CSC, tout en les rendant beaucoup plus délicates.
Après Schrems II, les autorités européennes chargées de la protection des données ont commencé à adopter une approche plus stricte à l'égard des transferts de données. Cinq autorités de protection des données ont pratiquement interdit Google Analytics (nous avons écrit à ce sujet), et l'autorité irlandaise de protection de la vie privée a annoncé un projet de décision visant à mettre fin aux transferts de données pour Meta Platforms Ireland. Ces autorités de protection de la vie privée suivent une approche coordonnée1, de sorte qu'il existe une réelle possibilité que d'autres suivent leur exemple et que d'autres fournisseurs de services américains se retrouvent sous le feu des critiques. Cela crée un climat d'incertitude juridique autour des transferts de données vers les États-Unis.
(Mise à jour : le 20 mai 2002, l'autorité irlandaise a infligé à Meta Ireland une amende record de 1,2 milliard d'euros et lui a ordonné de suspendre les transferts de données de Facebook vers les États-Unis. Nous avons analysé cette décision importante en profondeur)
Le nouveau décret
Le récent décret de Joe Biden est une première étape vers un nouveau cadre appelé " cadre transatlantique de protection des données personnelles". Le décret met en œuvre certaines règles matérielles visant à limiter la portée de la surveillance et établit un système alambiqué permettant aux citoyens de l'UE2 de bénéficier de recours judiciaires.
Une décision d'adéquation de la Commission européenne suivra très certainement dans les mois à venir, donnant essentiellement le feu vert aux États-Unis en tant que pays "sûr" pour les transferts de données. Cela permettra aux entreprises européennes de transférer des données à caractère personnel sans avoir à mettre en œuvre des CSC et des garanties supplémentaires.
Les entreprises des deux côtés de l'océan espèrent que le nouveau cadre apportera une sécurité juridique et permettra des transferts de données sans problème. Toutefois, la future décision d'adéquation fera certainement l'objet d'un examen minutieux de la part de la Cour de justice. L'ONG noyb, spécialisée dans la protection de la vie privée, a critiqué le nouveau cadre et le contestera probablement devant la Cour de justice.
Le communiqué de presse du DPD
Dans les mois à venir, l'EDPB émettra un avis sur la question dans le cadre de la procédure de décision d'adéquation. Bien que l'avis du Bureau ne soit pas contraignant, il nous donnera un meilleur aperçu des questions fondamentales de Schrems III.
Entre-temps, le commissaire à la protection des données et à la liberté d'information de l'État allemand du Bade-Wurtemberg a fait part de ses préoccupations concernant le nouveau décret. Il est intéressant de noter que certaines des questions soulevées par le commissaire ont également été soulignées par noyb dans un récent communiqué de presse (le même que celui que nous avons mis en lien ci-dessus) :
- Les personnes qui déposent une plainte reçoivent très peu d'informations sur la décision. Cela peut rendre les décisions difficiles à contester dans la pratique.
- La Cour de contrôle de la protection des données (qui a le dernier mot sur toute plainte relative à la surveillance) est une branche de l'exécutif et ne fait pas partie du système judiciaire américain. Il n'est pas certain que la CJUE considère cette Cour comme indépendante.
- Le fait que le décret mentionne la proportionnalité3 ne signifie pas que le système de surveillance américain est, en fait, proportionnel, car la notion de proportionnalité peut être interprétée différemment par la Cour de contrôle de la protection des données et par la Cour de justice de l'UE.
Le commissaire a également exprimé d'autres préoccupations. Par exemple, les décrets sont révocables à volonté par le président, ce qui les rend inadaptés à la protection des droits individuels. De plus, on ne sait pas encore comment le décret interagira avec les réglementations existantes en matière de surveillance.
Réflexions finales
Le décret est très complexe et il faudra un certain temps à la communauté de la protection de la vie privée pour le décortiquer. Il est difficile de dire comment se déroulera une affaire "Schrems III", mais il est déjà clair que le nouveau cadre est potentiellement problématique à plusieurs égards. Dans l'ensemble, l'avenir des transferts de données aux États-Unis n'est toujours pas clair.
Simple Analytics vous tiendra au courant de l'évolution de la situation par l'intermédiaire de sa lettre d'information sur la protection de la vie privée. Si vous voulez être tranquille, il existe des alternatives à Google Analytics respectueuses de la vie privée et conformes au GDPR. Nous sommes l'une d'entre elles. N'hésitez pas à jeter un coup d'œil à ce que nous construisons ici. Contrairement à Google, nous croyons en la création d'un web indépendant et convivial pour les visiteurs de sites web. Si vous vous sentez concerné, n'hésitez pas à nous essayer.
1 : Les décisions prises à l'encontre de Google Analytics sont liées à 101 plaintes déposées par l'ONG noyb concernant les transferts de données. L'EDPB a mis en place un groupe de travail pour coordonner l'approche des autorités de protection des données au niveau européen 2 : Le système sera accessible à toute personne résidant dans l'UE, car elle bénéficie des droits en matière de protection des données en vertu du GDPR, indépendamment de sa citoyenneté 3 : La proportionnalité est une notion spécifique du droit de l'UE et a joué un rôle important dans la décision Schrems II. Dans ce contexte, et à titre de règle empirique, on peut considérer qu'une mesure (telle que la surveillance par l'État) est proportionnée lorsqu'elle est à la fois nécessaire à la réalisation d'un objectif légitime et qu'elle n'est pas excessive. Voir l'art. 52(1) de la Charte des droits fondamentaux de l'Union européenne.