Tout ce qu’il faut en savoir sur le Bouclier de protection des données 2.0

,

Written by Aleksandra Szczepańska, Karolina Lubowicka

Published mars 02, 2023

Le 10 juillet 2023, la Commission européenne a annoncé un nouvel accord réglementant le flux de données entre les États-Unis et l’UE, appelé le cadre de protection des données. Un développement indispensable étant donné l’importance des transferts de données dans l’économie mondiale, mais toujours pas à l’abri de controverses, ce qui soulève des inquiétudes quant à sa durabilité.

Les gardiens de la protection de la vie privée, y compris Max Schrems, un acteur de premier plan derrière la suppression du Safe Harbor et du Privacy Shield, font valoir que le nouvel accord n’aura aucune chance devant la Cour de justice de l’Union européenne (CJUE). Comment l’avenir des transferts de données transatlantiques se présente-t-il alors ?

Lisez l’aperçu historique des précédents accords d’adéquation pour comprendre les problèmes sous-jacents liés aux transferts de données entre l’UE et les États-Unis. Ensuite, découvrez les détails du nouveau cadre et son impact possible sur les entreprises de l’UE et des États-Unis

Pourquoi une décision d’adéquation UE-États-Unis est-elle nécessaire en premier temps ?

Il existe une différence significative entre les approches des États-Unis et de l’UE à l’égard du respect de la vie privée des individus.

L’UE protège la vie privée des individus avec des lois telles que le RGPD, la directive ePrivacy et la Charte des droits fondamentaux de l’Union européenne. Depuis l’année 1995, la loi de l’UE interdit tout transfert de données personnelles en dehors de l’UE, à moins que le pays de destination n’offre une protection de la vie privée équivalente.

Or, le système juridique américain ne dispose pas d’un cadre de protection de la vie privée aussi complet. Bien que le quatrième amendement protège la vie privée des citoyens américains, les personnes d’autres pays et régions, comme l’Europe, n’ont pas le même niveau de protection. D’autant plus que le gouvernement américain a autorisé ses agences à mener une surveillance de masse sur les non-Américains en vertu de lois telles que la loi FISA de 1978 sur la surveillance du renseignement étranger (section 702) et le décret 12333.

Il se trouve que ces divergences dans le respect de la vie privée des résidents de l’UE et des États-Unis sont impossibles à concilier sans un accord spécial qui fixe des règles claires pour le transfert et le traitement de leurs données.

D’où l’idée d’une décision d’adéquation. Cette dernière constitue l’un des outils fournis en vertu du RGPD pour transférer des données personnelles de l’UE vers des pays tiers. En théorie, elle garantit aux résidents de l’UE que si leurs données sont exportées vers les États-Unis, celles-ci seront traitées avec le même niveau de protection que celui assuré par l’UE. Néanmoins, les précédentes expériences prouvent que les accords de données entre l’UE et les États-Unis sont incapables de tenir cette promesse.

L’affaire Safe Harbor et l’arrêt Schrems I

Les principes de confidentialité de la sphère de sécurité internationale [ang. Safe Harbour] ont été le premier cadre juridique régissant les transferts de données entre l’UE et les États-Unis. Ceux-ci ont été introduits en 2000 et annulés par une décision connue sous le nom de l’arrêt Schrems I.

Dans le cadre du Safe Harbor, les entreprises américaines pouvaient opérer sur le principe d’« autocontrôle » de conformité aux réglementations européennes en matière de protection des données. Sur la liste de plus de 5000 d’entreprises s’appuyant sur l’accord pour faciliter les transferts de données nous trouvions à l’époque les géants comme Facebook et Google.

Safe Harbor a commencé à s’effondrer sous les allégations selon lesquelles, grâce à l’accès aux données personnelles des citoyens de l’UE recueillies par les géants de la technologie, l’Agence de sécurité nationale aurait pu violer les droits de l’homme fondamentaux énoncés dans l’article 8 de la Convention européenne des droits de l’homme.

L’avocat autrichien Max Schrems a déposé une plainte en 2013 au sujet de données personnelles transférées de Facebook Ireland Ltd. à sa société mère américaine, puis consultées par les agences de sécurité de l’État américain. L’activiste a défendu que le cadre n’assurait pas de protection suffisante de son droit fondamental à la confidentialité garantie par l’UE.

En 2015, la CJUE a constaté que le programme Safe Harbor ne protégeait pas de manière adéquate les données personnelles contre les « interférences » du gouvernement américain. La décision a résulté en l’invalidation du cadre.

L’origine du Bouclier de protection des données et de l’arrêt Schrems II

Le bouclier de protection des données visait à résoudre les problèmes identifiés dans le cadre précédent. Il est entré en vigueur le 12 juillet 2016.

Ses principes étaient, cependant, en grande partie identiques à ceux trouvés dans le Safe Harbor et n’ont même pas changé suite à l’introduction du RGPD. Résultat ? Depuis mai 2018, les entreprises américaines ont traité des données sans conformer au cadre actuel de l’UE en matière de protection de la vie privée, ce qui a conduit à une autre plainte portée devant la CJUE par Max Schrems. En 2020, la décision connue sous le nom de l’arrêt Schrems II a invalidé le bouclier de protection des données UE-États-Unis en raison des préoccupations concernant la surveillance par l’État américain et ses forces de l’ordre.
La cour a déclaré que la transmission des données personnelles de l’UE aux États-Unis est illégale à moins que les entreprises ne garantissent que celles-là seront à l’abri des services de renseignement américains.

Quelles ont été les retombées de l’arrêt Schrems II pour les entreprises ?

L’impact de l’arrêt Schrems II a été immense. Le bouclier protégeait des milliers d’entreprises, y compris des géants tels que Facebook et Google. Avec son invalidation, « la police d’assurance » de toutes ces entreprises est arrivée à échéance.

L’abrogation de l’accord signifiait qu’il n’existait aucun moyen juridique pour le transfert transfrontalier de données à caractère personnel de l’UE vers les États-Unis, à l’exception des clauses contractuelles types (CCT). Résultat ? Les entreprises qui reposent sur les transferts de données rencontrent désormais plus de difficultés à travailler avec les fournisseurs de services américains.

Depuis l’invalidation du bouclier, l’organisation NOYB qui veille à la confidentialité des données a déposé 101 plaintes contre des entreprises qui collectent des données sur les visiteurs avec Google Analytics et Facebook Connect. La liste des entreprises poursuivies en justice comprend des entreprises de différents secteurs, avec une représentation importante dans l’édition et les finances.

Des autorités de protection des données [ang. DPA – data protection authorities] de l’UE ont commencé à émettre des décisions réellement interdisant l’utilisation de plateformes telles que Google Analytics dans certains pays de l’UE :

  • Le 12 janvier 2022, la DPA autrichienne a publié sa décision dans l’affaire d’un éditeur allemand anonyme. L’autorité a déclaré que l’utilisation de Google Analytics pour collecter des données sur les résidents de l’UE est illégale en vertu du RGPD.
  • En avril 2022, la CNIL a rendu une décision ordonnant à trois sites français de cesser d’utiliser Google Analytics.
  • En juin 2022, l’autorité italienne de protection des données (Garante) a estimé que le transfert des données personnelles aux États-Unis lors de l’utilisation de Google Analytics était illégal en vertu du RGPD.
  • En septembre 2022, l’Agence danoise de protection des données Datatilsynet est devenue le quatrième régulateur national à conclure que Google Analytics n’était pas conforme aux exigences du RGPD.
  • En mars 2023, la DPA norvégienne a publié un avis préliminaire indiquant que l’utilisation de la plateforme Google est illégale en vertu du RGPD.
  • En mai 2023, la DPA finlandaise a ordonné à l’Institut météorologique finlandais d’arrêter les transferts de données entre l’UE et les États-Unis à l’aide de Google Analytics.
  • En juillet 2023, l’autorité suédoise de protection des données a ordonné à quatre entreprises de cesser d’utiliser Google Analytics.

Pendant ce temps, les entreprises qui comptaient sur les services de Google et d’autres plateformes qui envoyaient des données à travers l’Atlantique couraient un risque plus élevé de poursuites judiciaires de la part des consommateurs, des groupes de défense des droits des consommateurs et des DPA.

Le cadre de confidentialité des données – alias Bouclier de protection des données 2.0

Le 10 juillet 2023, la Commission européenne a adopté un nouveau cadre de confidentialité des données, souvent appelé Bouclier de protection des données [ang. Privacy Shield 2.0].

Le nouvel accord répond à certaines préoccupations soulevées par Schrems II. Il restreint la manière dont les agences d’espionnage américaines peuvent recueillir des renseignements et introduit de nouvelles conditions pour la collecte de données personnelles, notamment en veillant à ce que seuls des types de données strictement spécifiés soient collectés.

Le nouveau cadre permet également aux résidents de l’UE de demander réparation auprès d’une cour indépendante d’examen de la protection des données composée de membres extérieurs au gouvernement américain et du Bureau de la protection des libertés civiles. Ces organes peuvent autoriser des réclamations et des mesures correctives directes si nécessaire.

Les entreprises américaines peuvent adhérer au cadre de confidentialité des données en acceptant de respecter leurs responsabilités en matière de confidentialité. Il s’agit notamment de supprimer des données personnelles lorsqu’elles ne sont plus nécessaires et de les protéger lorsqu’elles sont partagées avec des tiers. Les entreprises doivent également respecter les principes de minimisation des données, de limitation des finalités et de proportionnalité.

Dès qu’elles se sont auto-certifiées, elles peuvent commencer à traiter les données personnelles des résidents de l’UE.

Controverses autour du cadre de confidentialité des données UE-EU

Certes, le nouvel accord introduit une série de garanties et d’exigences supplémentaires pour limiter à la surveillance américaine l’accès aux données des résidents de l’UE. Mais selon les défenseurs de la vie privée, il n’en fait pas assez pour répondre aux normes européennes en matière de protection de la vie privée.

« Nous avons déjà vu passer des « sphères de sécurité », des « directives », des « boucliers » et des « cadres » – sans aucun changement substantiel dans la loi américaine sur la surveillance. Les communiqués de presse d’aujourd’hui sont presque une copie littérale de ceux des 23 dernières années. Le simple fait d’annoncer que quelque chose est « nouveau »,« robuste » ou « efficace » n’est pas suffisant devant la Cour de justice. Nous aurions besoin de changements dans la loi américaine sur la surveillance pour que cela fonctionne – et ceux-ci n’ont toujours pas été introduits, » résume Schrems.

NOYB souligne les problèmes critiques du nouveau cadre, dont surtout :

Norme FISA 702 et décret 12333

Les États-Unis n’ont pas réformé la norme FISA 702, malgré l’avis de la CJUE selon lequel la surveillance en masse autorisée par la loi n’était pas « proportionnée » d’une manière définie par l’article 52 de la Charte des droits fondamentaux de l’UE. Le décret américain EO 14086 mettant en œuvre le cadre utilise plutôt une interprétation moins stricte du terme.

La FISA et le décret EO 12333 restant inchangés, les droits des résidents non américains ne sont toujours pas protégés conformément au quatrième amendement des États-Unis et à la Charte des droits fondamentaux de l’UE.

Il n’est pas clair si les États-Unis supprimeront les dispositions controversées de la loi lors de leur réforme de la FISA à la fin de l’année. Max Schrems suggère que le gouvernement américain pourrait ne pas être disposé à prendre cette mesure étant donné que la décision d’adéquation des données a déjà été signée.

La Cour de révision de la protection des données

NOYB défend que la Cour de révision de la protection des données n’est pas un tribunal réel tel que défini par la loi américaine. L’agence souligne les similitudes entre la Cour, l’officier chargé de la protection des libertés civiles et l’institution du « médiateur » [ang. Ombudsperson] introduite dans le bouclier de protection des données, qui, selon l’arrêt de la CJUE, n’était pas conforme à l’article 47 de la Charte des droits fondamentaux de l’UE.

L’organisation a également critiqué l’étendue des recours à la portée des résidents de l’UE, affirmant qu’il n’y avait aucune garantie supplémentaire que ceux-là seraient plus efficaces que les mesures proposées dans les cadres précédents.

Les avis de la CEPD et du Parlement européen sur le nouvel accord

Les organes de l’UE sont également insatisfaits de la forme actuelle du cadre. Avant la mise en œuvre de l’accord, le Comité européen de la protection des données (CEPD) et le Parlement européen (PE) ont fait part de leurs préoccupations concernant les garanties de confidentialité offertes par l’accord. Le PE a même incité la Commission européenne à renégocier ou contester l’accord devant la CJUE :

« [Le Parlement européen] invite la Commission à agir dans l’intérêt des entreprises et des citoyens de l’UE en veillant à ce que le cadre proposé fournisse une base juridique solide, suffisante et tournée vers l’avenir pour les transferts de données UE-États-Unis ; s’attend à ce que toute décision d’adéquation, si elle est adoptée, soit contestée devant la CJUE ; souligne la responsabilité de la Commission pour défaut de protection des droits des citoyens de l’UE dans le cas où la décision d’adéquation est à nouveau invalidée par la CJUE. »

D’autres organes de protection des données de l’UE, y compris le commissaire d’État à la protection des données et à la liberté d’information du Bade-Wurtemberg et de Hambourg, ont également critiqué le nouvel accord :

« La Commission européenne devra bientôt décider s’il existe un niveau équivalent de protection des données à caractère personnel aux États-Unis. En premier temps, il est déjà douteux que la Commission soit même en mesure de réévaluer le niveau de protection des données aux États-Unis et de prendre une décision d’adéquation sur la seule base du décret. Le grand nombre de questions ouvertes qui doivent encore être clarifiées jette le doute sur ce point. Dans cette question élémentaire de la protection des données, cependant, les citoyens de l’UE ont autant besoin de sécurité juridique que les entreprises européennes et étrangères concernées. La Commission européenne devrait-elle permettre que les droits fondamentaux des citoyens de l’UE soient relégués au second plan par rapport aux intérêts économiques pour la troisième fois consécutive ? ,» a déclaré Stefan Brink, Commissaire d’Etat à la protection des données et à la liberté de l’information du Bade-Wurtemberg.

Comment le nouveau cadre affecte les affaires de l’UE et des États-Unis

Effectivement, l’utilisation de logiciels qui envoient des données à travers l’Atlantique, tels que Google Analytics et Facebook Ads, redevient légale à condition que leurs fournisseurs soient certifiés. Or, compte tenu du débat animé autour du nouveau cadre, nous pourrions nous attendre à ce que d’autres plaintes apparaissent dans les prochains mois. NOYB a déjà annoncé ses prochains mouvements :

« Nous avons diverses options de contestation déjà en réserve […] . Nous nous attendons à ce que cela revienne à la Cour de justice d’ici le début de l’année prochaine. La Cour de justice pourrait même suspendre le nouvel accord pendant qu’elle en examine le contenu, » a déclaré Schrems.

Il semble que pour qu’un accord tienne, les États-Unis doivent s’adapter et apporter des modifications substantielles à leur cadre juridique, notamment la section FISA 702 et le décret EO 13222. Or, nous ignorons quand, ni si cela se produira un jour.

Les entreprises préoccupées par le fait que les nouvelles plaintes conduisent à Schrems III pourraient envisager des options plus pérennes pour la collecte de données dans le cadre du RGPD. D’autant plus que des verdicts tels que Schrems II fonctionnent rétroactivement et nécessitent un réexamen de vos contrats existants, ce qui vous impose de lourdes obligations.

Voici les choix qui s’offrent à vous :

  • Limitation/exclusion des transferts et anonymisation des données. La technologie commerciale américaine repose fortement sur l’identification des utilisateurs et les transferts de données. Limiter les transferts ou enlever des informations personnelles des ensemble de données aide à surmonter ce problème, mais pas sans conséquences. Par exemple, lorsque Google Analytics est configuré pour répondre aux normes du RGPD (selon les directives de la CNIL), il perd la plupart de ses fonctionnalités.
  • Mise à jour de la pile technologique avec les alternatives disponibles dans l’UE. Schrems II a créé une ouverture sur le marché pour les entreprises de l’UE proposant des logiciels commerciaux et de marketing avec un hébergement local dans l’UE. Ces alternatives permettent aux organisations de devenir complètement indépendantes de l’épreuve du transfert de données transatlantique.

Les enjeux liés au Bouclier 2.0 évoluent de manière dynamique. Nous vous tiendrons au courant de toute modification du cadre et des affaires portées devant la Cour de justice de l’Union européenne.

Vous souhaitez découvrir comment Piwik PRO Analytics Suite peut vous aider à vous conformer au RGPD et à d’autres lois sur la confidentialité dans le monde entier tout en collectant des données utilisateur précieuses ? N’oubliez pas de nous contacter !