Back to blog

Bouclier de protection des données II : sa définition et ses retombées sur votre fonctionnement

Data privacy & security

Written by

Published mars 2, 2023

Bouclier de protection des données II : sa définition et ses retombées sur votre fonctionnement

L’invalidation des cadres précédents concernant le transfert de données entre les États-Unis et l’UE a causé beaucoup de confusion parmi les entreprises européennes. L’abrogation des accords signifiait qu’il n’y existait plus de moyens légaux pour le transfert transfrontalier de données personnelles de l’UE vers les États-Unis.

Le nouvel accord d’adéquation, souvent appelé Bouclier de protection des données II (Privacy Shield 2.0 en anglais), semble être une lueur d’espoir, car les autorités de l’UE et des États-Unis ont pris des mesures pour faciliter la tâche des entreprises qui utilisent des plateformes d’envoi de données outre-Atlantique. Cependant, les experts en matière de protection de la vie privée affirment que le nouveau cadre entraînera de nombreuses controverses et pourra être rapidement contesté par la Cour de justice de l’Union européenne (CJUE), tout comme les deux accords précédents. Ainsi, comment l’avenir des transferts de données transatlantiques se présente-t-il ?

La suite de cet article va nous éclaircir cette question. Tout d’abord, nous allons nous pencher sur le contenu des précédents accords d’adéquation ainsi que sur les raisons de leur échec. Ensuite, nous allons passer en revue le soi-disant Bouclier de protection des données II, qui est censé répondre aux préoccupations soulevées par la CJUE en 2020.

Pour terminer, nous discuterons des résultats possibles du nouvel accord et de l’impact qu’il aura sur des entreprises de l’UE et des Etats-Unis.

Table of contents

  1. Les origines du Bouclier de protection des données
    1. Le cas de Safe Harbor et de l’arrêt Schrems
  2. L’arrêt Schrems II : Pourquoi le Bouclier de protection des données a-t-il été invalidé ?
  3. Quelles ont été les retombées de l’arrêt Schrems II pour les entreprises ?
  4. Le nouveau cadre transatlantique de protection des données appelé Bouclier de protection des données II : Ce que nous savons jusqu’à présent
  5. Le bouclier 2.0 risque de ne pas répondre aux attentes des régulateurs européens
    1. Controverses autour du nouveau bouclier de protection des données UE-États-Unis
      1. Pourquoi la nouvelle solution est-elle imparfaite dès le départ ?
  6. Quelle est la solution ?
  7. Moyens de collecte de données respectueux de la vie privée
    1. Comment minimiser le risque encore ?
  8. Bilan

Les origines du Bouclier de protection des données

La différence significative entre les législations américaine et européenne est mise en évidence par l’absence d’une loi-cadre sur la confidentialité des données qui s’applique à tous les types de données et à toutes les entreprises américaines. Par conséquent, un cadre réglementaire relatif aux transferts de données à caractère personnel de l’UE vers les États-Unis est indispensable. Le bouclier de protection des données, dont le but était de réglementer ces transferts de données, a été créé pour remplacer les principes de la sphère de sécurité. En effet, le soi-disant Safe Harbor avait été invalidé par la CJUE en octobre 2015.

Le cas de Safe Harbor et de l’arrêt Schrems

Safe Harbor a été invalidé par l’arrêt Schrems I, qui prend son nom de l’avocat autrichien Maximillian Schrems, qui avait porté l’affaire. Schrems a déposé une plainte en 2013 au sujet de données personnelles transférées de Facebook Ireland Ltd. à sa société mère américaine, puis consultées par les agences de sécurité de l’État américain. L’activiste a fait valoir que le cadre n’assurait pas de protection insuffisante de son droit fondamental à la confidentialité aux États-Unis.

La Cour de justice de l’Union européenne (CJUE) a estimé que le programme Safe Harbor ne protégeait pas de manière suffisante les données personnelles contre une « interférence » du gouvernement américain « fondée sur des exigences de sécurité nationale et d’intérêt public ».

Cette décision a conduit à la création d’un bouclier de protection des données entre l’UE et les États-Unis.

L’arrêt Schrems II : Pourquoi le Bouclier de protection des données a-t-il été invalidé ?

Le Privacy Shield est entré en vigueur le 12 juillet 2016. Cet accord sur la protection des données était censé fournir un cadre amélioré pour la transmission sécurisée de données à caractère personnel de l’Union européenne vers les États-Unis. Cette version mise à jour de l’accord a été créée pour protéger efficacement les droits des résidents européens et assurer un niveau de sécurité adéquat dans le traitement de leurs données, ainsi que pour permettre un échange de données transparent et faciliter le commerce entre l’UE et les États-Unis.

Or, en 2020, l’histoire s’est répétée et la Cour de justice de l’Union européenne a déclaré le bouclier de protection des données invalide.
Le 16 juillet 2020, la CJUE a rendu un verdict selon lequel le bouclier de protection des données UE-États-Unis a été invalidé en raison de préoccupations concernant la surveillance par l’État américain et les organismes d’application de la loi. Ce verdict est devenu plus tard familièrement connu sous le nom de Schrems II, car il était à nouveau une réponse à une nouvelle plainte déposée par Max Schrems.

La cour a déclaré que la transmission de données personnelles de l’UE aux États-Unis est illégale si les entreprises ne peuvent pas garantir qu’elles seront à l’abri des services de renseignement américains. Néanmoins, dès la création du bouclier, son invalidation semblait inévitable.

Le problème découle de l’inadéquation entre les réglementations sur la confidentialité des données dans l’UE et aux États-Unis. Les tribunaux de l’UE ont déclaré que ce décalage était trop important et qu’il ne pouvait pas être pallié par un accord général tel que le bouclier de protection des données ou la sphère de sécurité. Nous y reviendrons dans la suite de l’article, car le nouvel accord est également confronté au même défi.

L’impact de l’arrêt Schrems II a été immense. Celui-ci a irréversiblement changé la façon dont les compagnies et les législateurs approchent des transferts de données et l’intimité d’utilisateur.

Quelles ont été les retombées de l’arrêt Schrems II pour les entreprises ?

Le bouclier protégeait des milliers d’entreprises, y compris des géants tels que Facebook et Google. Avec son invalidation, “la police d’assurance” de toutes ces entreprises est arrivée à échéance.

Par conséquent, l’arrêt Schrems II a entraîné une insécurité juridique importante pour des milliers d’entreprises européennes. L’abrogation de l’accord signifiait qu’il n’y avait aucun moyen légal pour le transfert transfrontalier de données personnelles de l’UE vers les États-Unis étant donné que l’accord du bouclier de protection des données n’était pas conforme au RGPD. Résultat ? Il est devenu plus difficile pour les entreprises qui reposaient sur les transferts de données de travailler avec les fournisseurs de services américains.

Bien que le bouclier de protection des données ne soit plus une justification légale valable pour les transferts de données entre l’UE et les États-Unis, ceux-ci n’ont pas été arrêtés. De grandes entreprises de technologie telles que Google transmettent toujours des tas de données sur les résidents de l’UE aux États-Unis.

En l’absence d’un accord d’adéquation en place, certaines entreprises, dont Google, ont eu recours à des clauses contractuelles types (standard contractual clauses – SCC) et à des règles d’entreprise contraignantes (binding corporate rules – BCR) pour assurer la protection des données envoyées aux États-Unis.

Depuis l’invalidation du bouclier, l’organisation NOYB qui veille à la confidentialité des données, a déposé 101 plaintes contre des entreprises qui collectent des données sur les visiteurs avec Google Analytics et Facebook Connect. La liste des entreprises poursuivies en justice comprend des entreprises de différents secteurs, avec une représentation importante d’éditeurs et de finances.

Des autorités de protection des données (APD) de l’UE ont commencé émettre des décisions interdisant effectivement l’utilisation de plateformes telles que Google Analytics dans certains pays de l’UE :

  • Le 12 janvier 2022, la DPA autrichienne a publié sa décision dans l’affaire d’un éditeur allemand anonyme. L’autorité a déclaré que l’utilisation de Google Analytics pour collecter des données sur les résidents de l’UE est illégale en vertu du RGPD.
  • En avril 2022, la CNIL a rendu une décision ordonnant à trois sites français de cesser d’utiliser Google Analytics.
  • En juin 2022, l’autorité italienne de protection des données (Garante) a estimé que le transfert des données personnelles aux États-Unis lors de l’utilisation de Google Analytics était illégal en vertu du RGPD.
  • En septembre 2022, l’Agence danoise de protection des données Datatilsynet est devenue le quatrième régulateur national à conclure que Google Analytics n’était pas conforme aux exigences du RGPD.

Les entreprises individuelles couraient donc un risque plus élevé d’action en justice de la part des consommateurs, des groupes de défense des droits de consommateurs et des DPA.

Le nouveau cadre transatlantique de protection des données appelé Bouclier de protection des données II : Ce que nous savons jusqu’à présent

Le 7 octobre 2022, le président Joe Biden a signé un décret visant à mettre en œuvre un nouveau cadre de protection des données UE-États-Unis, également connu sous le nom de Bouclier de protection des données II, afin de protéger la confidentialité des données personnelles partagées entre les États-Unis et l’Europe. Le décret exécutif marque le début des travaux sur le nouveau cadre. Si tout se passe bien, le nouvel accord sera publié en mars 2023, mettant fin à la longue période d’incertitude dans l’économie numérique transatlantique.

Le nouveau cadre répond aux préoccupations soulevées dans Schrems II. L’arrêt Schrems II a invalidé le Bouclier de protection des données, en partie parce que les résidents de l’UE n’avaient pas le droit de pétitionner auprès du gouvernement américain s’ils estimaient que leurs données avaient été collectées de manière inappropriée.

Le cadre de Biden aborde ces questions en limitant la façon dont les agences d’espionnage américaines peuvent recueillir des renseignements sur les signaux et en plaçant la collecte d’informations derrière plusieurs couches de conditions, notamment en veillant à ce que seules des données fortement personnalisées soient collectées. La Maison Blanche a indiqué dans une fiche documentaire que les Etats-Unis « se sont engagés à mettre en place de nouvelles sauvegardes d’instruments pour s’assurer que les activités d’intelligence de signaux sont nécessaires et proportionnées à la poursuite des objectifs définis de sécurité nationale. »

Le nouveau cadre permettra à des individus en UE de porter plainte devant une Cour indépendante de révision de protection de données, composée des membres ne faisant pas partie du gouvernement américain. Cet organe serait pleinement habilité à statuer sur les réclamations et à prendre les mesures correctives qui s’imposent.

Le 13 décembre 2022, la Commission européenne a lancé le processus formel d’adoption d’une décision d’adéquation sur le cadre de protection des données UE-États-Unis.

La publication du projet de décision n’est que la première étape formelle de l’adoption d’une juridiction étrangère comme disposant d’une protection adéquate des données. Dans l’étape suivante, c’est le Comité européen de la protection des données (CEPD) qui rassemble toutes les autorités de protection des données de l’UE pour émettre un avis.

Ensuite, la décision doit être approuvée par un comité formé par les représentants nationaux des États membres avant l’adoption formelle. La décision finale est attendue au printemps 2023. Une fois la décision publiée, les entreprises européennes peuvent s’y référer lorsqu’elles transmettent des données aux États-Unis.

Dans cette attente, le Parlement et le Conseil européen pourraient remettre cette décision en cause, à supposer qu’ils estiment que la Commission a outrepassé ses pouvoirs.

Le bouclier 2.0 risque de ne pas répondre aux attentes des régulateurs européens

Bien que le décret introduise une série de garanties et d’exigences supplémentaires pour limiter l’accès aux données des résidents de l’UE par la surveillance américaine, tout en établissant un système de recours pour traiter les plaintes, les défenseurs de la vie privée affirment que le décret de Biden semble voué à l’échec.

NOYB, l’organisation de protection de la vie privée de Schrems, a déclaré dans sa réponse au décret de Biden que la Cour de révision de la protection des données n’est pas un tribunal réel tel que défini par la loi américaine. L’organisation a également critiqué l’étendue des recours à la portée des résidents de l’UE, affirmant qu’il n’y avait aucune garantie supplémentaire que ceux-ci seraient plus efficaces que les mesures proposées dans les cadres précédents. « À première vue, il semble que les questions fondamentales n’ont pas été résolues et que [le nouveau bouclier] sera de retour à la CJUE tôt ou tard », a résumé Schrems.

Controverses autour du nouveau bouclier de protection des données UE-États-Unis

Le décret énonce de nouvelles règles sur la façon dont les États-Unis et l’Europe partagent les informations personnelles, mais il peut encore être en deçà des exigences de l’UE. NOYB souligne que la solution pourrait être défectueuse en raison de quelques problèmes :

  • Le décret n’est pas une loi et peut être facilement dérogé par un autre décret. Cette faible interprétation juridique ne satisfera probablement pas la CJUE. 
  • Du point de vue américain, les Européens n’ont aucun droit à la vie privée. Le quatrième amendement ne les accorde qu’aux citoyens américains. Tous les citoyens non américains peuvent facilement devenir des cibles de surveillance. 
  • Les organisations américaines opérant dans l’UE ne sont pas liées par le RGPD. Selon le décret, elles n’auront pas besoin d’une base juridique pour la collecte de données et ne devront fournir qu’un mécanisme de désinscription pour ceux qui ne souhaitent pas partager des données. Cela défavorise gravement les entreprises de l’UE qui doivent se conformer au RGPD.

Le Commissaire d’État à la protection des données et à la liberté de l’information du Land Bade-Wurtemberg, Stefan Brink, a commenté le décret du Président des États-Unis à la fin du mois d’octobre 2022. Il a bien reçu le décret tout en exprimant les préoccupations suivantes :

  • Le décret est une directive interne pour le gouvernement et les organismes subordonnés et n’est pas une loi adoptée par le Parlement.
  • Il n’est pas clair comment le décret exécutif se rapporte à d’autres réglementations américaines, telles que la loi Cloud Act.
  • Les systèmes juridiques de l’UE et des États-Unis interprètent différemment le concept juridique de proportionnalité.
  • Le processus de plainte pour violation de l’ordonnance relative à l’emploi est complexe et encombrant. L’organe qui rend les décisions n’est pas un tribunal indépendant.

La Commission européenne devra bientôt décider s’il existe un niveau équivalent de protection des données à caractère personnel aux États-Unis sur le fond. En premier temps, il est fort douteux que la Commission soit même en mesure de réévaluer le niveau de protection des données aux États-Unis et de prendre une décision d’adéquation sur la seule base du décret. Le grand nombre de questions ouvertes qui doivent encore être clarifiées jette le doute sur ce point.

Stefan Brink, Commissaire d’Etat à la protection des données et à la liberté de l’information du Bade-Wurtemberg

Pourquoi la nouvelle solution est-elle imparfaite dès le départ ?

Analysons de plus prêt les controverses et discutons plus en détail de leur contexte et de leurs implications.
Le nouvel accord pourrait encore ne pas être en mesure de résoudre les problèmes sous-jacents liés aux transferts de données UE-États-Unis, car les deux parties ont une approche complètement différente en matière de confidentialité et des systèmes juridiques tellement divergents qu’il sera extrêmement difficile de les aligner dans tout accord.

La législation des États-Unis permet aux autorités de surveiller et de divulguer les données jugées nécessaires à la collecte par les entreprises. Cela ne protège pas suffisamment les données des résidents européens sur les serveurs américains contre l’accès de ces autorités. L’UE considère la vie privée comme un droit de l’homme qui s’applique à tous les individus, tandis que le quatrième amendement ne s’applique qu’aux citoyens américains ou aux résidents permanents. Du point de vue des États-Unis, les Européens n’ont aucun droit à la vie privée. La section 702 de la loi FISA fait référence à cette différence dans la loi américaine et autorise une surveillance illégale en vertu du quatrième amendement, tant qu’aucun Américain n’est ciblé.

Ce problème est déjà connu, car le premier bouclier de protection des données a également donné la priorité à la loi des États-Unis et a même énuméré six cas dans lesquels une surveillance de masse était autorisée. Cette surveillance des données ne se limitait pas aux cas où elle était absolument nécessaire, et la capacité des consommateurs européens à se défendre légalement était limitée.

Ce qui est frappant, c’est que la Commission européenne n’a toujours pas demandé que les soi-disant principes du bouclier de protection des données soient alignés sur le RGPD, en vigueur depuis 2018. Les principes sont dans une large mesure les mêmes que les précédents principes de la sphère de sécurité, qui ont été rédigés en 2000 et continueront d’être utilisés dans le nouveau cadre. Cela signifie que les entreprises américaines peuvent continuer à traiter des données européennes sans se conformer au RGPD. Par exemple, ils n’ont pas besoin d’une base juridique, tel que le consentement, pour traiter les données. Dans le cadre du bouclier de protection des données, les entreprises américaines n’ont qu’à offrir une option de désinscription aux utilisateurs. Cela malgré le fait que la CJUE souligne qu’il doit y avoir des mesures de protection « essentiellement équivalentes » aux États-Unis.

À la suite des deux arrêts Schrems, une évaluation de l’avocat américain Stephen Vladeck publiée début 2022 jette le doute sur le fait que les entreprises américaines et leurs filiales européennes traitent les données conformément au RGPD. Elle décrit l’état actuel des lois américaines en matière de surveillance et indique si les entreprises américaines sont capables d’adhérer aux normes européennes de protection des données. Vladeck affirme que le traitement des données sur les serveurs de l’UE n’est pas suffisant pour empêcher l’accès des autorités ou des services de renseignement de l’extérieur de l’UE.

Quelle est la solution ?

À ce jour, les transferts de données entre l’UE et les États-Unis posent des risques de conformité, en particulier dans le cas des produits de grande technologie qui utilisent des données à grande échelle, dont Facebook ou Google Analytics.

Par exemple, selon l’Agence danoise de protection des données, jusqu’à ce que l’accord soit rendu public, les transferts de données sont toujours en violation du RGPD. Comme indiqué, le décret américain ne signifie pas que les entreprises et les autorités danoises peuvent déjà transférer des données personnelles aux États-Unis sans cadre de transfert et sans se conformer aux exigences découlant de la décision Schrems II.

Une décision pourrait être prise vers mars 2023. Cela dit, tenons compte du fait que les ONG de protection de la vie privée soulèveront des plaintes au sujet du nouvel accord et le contesteront devant les tribunaux.

NOYB et ses partenaires ont déjà déclaré qu’ils analyseraient les documents plus en détail et publieront une analyse juridique détaillée dans les semaines à venir. Si la décision de la Commission européenne n’est pas conforme au droit de l’UE et aux arrêts pertinents de la CJUE, NOYB dit qu’ils vont probablement porter une autre contestation devant la CJUE. Dans cette attente, le Congrès américain devra ré-autoriser la FISA 702 en 2023, ce qui permettrait éventuellement au législateur américain de mettre en œuvre des restrictions significatives qui respectent les droits à la vie privée des citoyens non américains.

Moyens de collecte de données respectueux de la vie privée

Depuis la décision Schrems II, qui a effectivement interdit les transferts de données UE-États-Unis, de nombreuses organisations de l’UE ont mis à jour leurs technologies et méthodes pour naviguer dans le nouveau paysage juridique. Les deux voies les plus courantes étaient :

  • Limitation/exclusion des transferts et anonymisation des données. La technologie commerciale américaine repose fortement sur l’identification des utilisateurs et les transferts de données. Limiter les transferts ou enlever des informations personnelles des ensemble de données aide à surmonter ce problème, mais pas sans conséquences. Par exemple, lorsque Google Analytics est configuré pour répondre aux normes du RGPD (selon les directives de la CNIL), il perd la plupart de ses fonctionnalités.
  • Mise à jour de la pile technologique avec les alternatives disponibles dans l’UE. Schrems II a créé une ouverture sur le marché pour les entreprises de l’UE proposant des logiciels commerciaux et de marketing avec un hébergement local dans l’UE. Ces alternatives permettent aux organisations de devenir complètement indépendantes de l’épreuve du transfert de données transatlantique. 

Comment minimiser le risque encore ?

Ayez un contrôle total de vos données. Prenez connaissance du type de données que vous collectez, stockez et transférez. En outre, apprenez comment et quand les données changent d’emplacement.

Vous pouvez utiliser des services logiciels cloud, qui sont une solution excellente. Il faut que vous assuriez que les données sont stockées au sein de l’UE et que le centre de données est hébergé par un fournisseur de l’UE. Travaillez avec des partenaires transparents qui vous offrent une flexibilité maximale quant à la façon dont vous gérez les données de leurs services.

Travaillez avec ceux qui respectent les valeurs telles que la confidentialité dès la conception et la minimisation des données. En suivant ces valeurs, vous traiterez moins de données personnelles et limiterez ainsi vos risques. Gardez à l’esprit que le principal problème lié au bouclier de protection des données et au RGPD sont les données personnelles.

Ainsi, qui traite les données et où il le fait est également important. Vous minimiserez les risques si les données personnelles, et particulièrement sensibles, sont traitées par des partenaires basés dans l’UE plutôt qu’aux États-Unis.

Bilan

Internet était autrefois un espace non réglementé, créant une source de chaos juridique. Jour après jour, cette constatation devient de plus en plus désuète. Les réglementations sur tout, de la taxe de vente sur le commerce électronique à l’endroit où les données personnelles devraient être stockées, deviennent enfin plus courantes. Au fur et à mesure, divers pays ont mis en place différentes méthodes juridiques pour réglementer Internet.

Ces différences conduisent à des problèmes comme celui qui fait actuellement l’objet des discussions entre l’UE et les États-Unis.
Le bouclier de protection des données II vise à surmonter des limitations dans des transferts de données UE-US, mais une annonce politique sans cadre légal, génère encore plus d’incertitude juridique pour le moment. Par conséquent, maintenir des méthodes de collecte de données respectueuses de la vie privée se présente comme la solution la plus sûre.

Les enjeux liés au Bouclier 2.0 évoluent de manière dynamique. Nous vous tiendrons au courant de toute modification apportée à ce cadre.

Si vous souhaitez discuter des défis liés à la résidence des données, à la collecte de données personnelles et à la conformité au RGPD, n’hésitez pas à nous contacter.

Author

Aleksandra Szczepańska

Senior Content Marketer

In her career she has been balancing branding, marketing strategies and content creation. Believes that content is about the experience. | LinkedIn Profile

See more posts by this author