Il n’aura échappé à personne que le paysage de la vie privée est bouleversé par les possibilités offertes par internet et les nouvelles technologies. Le législateur et les politiques se sont progressivement emparés de ce sujet, même si la grande majorité des entreprises ne l’ont pas encore intégré dans leur système de conformité, ni même dans la gestion de leurs risques. Brutalement, les choses se sont accélérées et on peine à suivre les multiples péripéties. Compte tenu des enjeux, il est pourtant essentiel de ne pas perdre le cap.
Un projet de réforme européen
Les institutions européennes, conscientes de la nécessité d’adapter une réglementation datant de plus de 20 ans à l’évolution technologique et aux nouvelles pratiques commerciales, ont lancé le vaste et ambitieux programme de réforme de fond en comble de la directive européenne 95/46 sur la protection des données personnelles.
Un des enjeux est de lutter contre la déshumanisation. Il est généralement admis que les entreprises doivent pouvoir mettre en place des innovations répondant aux besoins et envies des individus tout en adoptant un modèle économique viable. L’individu, quant à lui, doit pourvoir bénéficier des innovations sans se dévoiler corps et âme, devenir le millionième rouage du « big data », se perdre dans les brumes opaques du « cloud », ou encore se retrouver connecté en permanence à la « matrice » et sans que son comportement soit systématiquement prédit ou influencé. En sus d’une harmonisation très poussée et d’un système de coopération et de guichet unique au niveau européen, l’objectif de cette réforme est de s’assurer que cette règlementation soit effectivement respectée grâce à un niveau de sanction phénoménal (jusqu’à 20 millions d’euros et 4 % du chiffre d’affaire mondial) qui peut être infligé par des autorités de contrôle (en plus des sanctions pénales que peuvent ordonner les tribunaux).
Le lancement des projets de directive et de règlement européen en 2012 a mis en branle un processus lourd et lent de négociation, de trilogue et de lobbying, dont il n’était pas certain qu’il aboutisse, quand soudain l’actualité a frappé et changé la donne.
Sans pouvoir attendre l’aboutissement de la réforme globale du droit européen, s’est posé de façon aigüe et urgente la question des flux des données vers des destinations n’offrant pas le même niveau de protection.
Une crise entre les USA et l’UE sur les échanges en matière « policière »
Après un premier scandale en 2006 sur l’accès aux données de transferts bancaires de SWIFT par les services secrets américains, les révélations d’Edward Snowden, à partir de 2013, sur l’ampleur considérable des renseignements aspirés par les services secrets américains dans le cadre du programme PRISM auprès de sociétés internet, ont déclenché des réactions en chaine. Nous sommes aujourd’hui encore au cœur de la tourmente.
Nous nous trouvons confrontés à la nécessité de trouver un équilibre entre la protection contre le terrorisme, (qui dans sa nouvelle forme de multiples cellules éclatées manie avec beaucoup d’efficacité les outils de communication), la protection de la vie privée du citoyen, ainsi que la protection des secrets d’Etat (puisque les services de renseignements n’hésitent pas à écouter les conversations des dirigeants politiques).
Une voie de sortie
Pour permettre l’échange de données entre les deux continents dans le cadre de la coopération en matière policière et pénale, les institutions européennes et américaines ont négocié un accord cadre baptisé « Umbrella Agreement »[1].
L’accord cadre ne pourra être officiellement conclu qu’après la modification de la loi américaine (Judicial Redress Act[2]) afin d’aligner les droits de recours des citoyens de l’Union européenne devant les juridictions américaines sur ceux dont disposent les citoyens américains. Or, le Judical Redress Act est pratiquement finalisé, même si il est beaucoup plus restrictif qu’initialement prévu. En effet, cette loi non seulement n’accorde de recours qu’aux citoyens de « pays couverts », mais elle vient d’ajouter un critère de qualification pour ces derniers. Pour être « couverts », les pays européens doivent permettre les échanges commerciaux de données vers les États-Unis. Cette adjonction s’est faite dans le cadre du grand choc du dernier trimestre de 2016, à savoir l’invalidation du Safe Harbor.
Une deuxième crise les USA et l’UE sur les échanges en matière « commerciale »
Le Safe harbor[3] est un ensemble de principes auxquels ont adhéré, par voie d’auto-certification, plus de 4.000 sociétés américaines pour leur permettre de recevoir ou collecter des données personnelles venant de l’UE et de la Suisse sans avoir à conclure de clauses types pour les transferts publiées par la Commission européenne ni mettre en place le programme complet de compliance désigné sous l’acronyme BCR [4] . Ce système relativement souple a fait l’objet en 2013 de vives critiques résumées en 13 points par Commission européenne.
Malgré ces critiques, la décision de la CJUE en octobre 2016 invalidant ce programme est tombée comme une bombe. Cette décision, prise dans une affaire opposant un étudiant en droit à Facebook, a notamment été motivée par les révélations sur les agissements des services secrets américains. La conséquence immédiate de la décision de la CJUE est que de nombreuses sociétés ont dû, dans l’urgence, mettre en place un des modes alternatifs de protection pour les flux de données et, en France, effectuer des formalités rectificatives devant la CNIL.
A plus long terme, la question reste posée de savoir quels sont les outils permettant effectivement une protection contre des agissements extrêmes. La solution qui consisterait à partager moins d’informations, à restreindre les flux et à stocker les données en Europe (comme cela a déjà été suggéré pour le cloud), semble peu réaliste. La réflexion n’est bien évidement pas cantonnée aux flux avec les Etats-Unis.
Une possible issue
La Federal Trade Commission et la Commission européenne viennent de publier in extremis le 29 février 2016, le EU-US Privacy Shield Package[5] , qui est en fait le Safe Harbor V 2 sur lequel ils travaillent depuis 2 ans.
Tous les acteurs concernés vont examiner ces documents avec attention et certains prédisent qu’il devra surmonter tous les obstacles de validation jusqu’à passer, lui aussi, devant la CJUE. À supposer que ces textes offrent une protection acceptable, la réflexion sur les outils se poursuivra néanmoins et les acteurs économiques appréhendent les suites qui pourraient en résulter.
Cependant un excès de rigueur en la matière pourrait être contreproductif ou inefficace. Il est fort peu probable en effet que les échanges de données avec les États Unis puissent cesser ou même diminuer significativement.
Finalisation de la réforme
C’est dans ce contexte que la réforme européenne de protection des données personnelles a pris toute sa portée. Pour ce qui concerne les entreprises, ce sont les principes inscrits dans le Règlement qui devraient générer la mise en place de mesures de protection renforcées et de responsabilisation des acteurs.
Le Règlement et la Directive[6] ont été approuvés et sont (quasi) définitifs (sous réserve de relecture et de traduction). Le Règlement sera d’application directe dans tous les pays de l’UE à la fin du deuxième semestre 2018.
Cela laisse relativement peu de temps aux entreprises pour se préparer. Surtout qu’en parallèle le travail sur les échanges internationaux de données ne va pas s’arrêter. Compte tenu des enjeux, c’est un sujet qu’il serait imprudent de négliger.
Contact : stephanie.faber@squirepb.com
[1] Littéralement « Accord Parapluie ». [2] Littéralement loi sur le « recours judiciaire » [3] Ou « Sphère de Sécurité » [4] « Binding Corporate Rules » ou « Règles Contraignantes d’Entreprise »
[5] Littéralement « Bouclier de la Vie Privé » – Lire : Les éléments du Privacy Shield (Bouclier de la vie Privée) dévoilés [6] La directive porte sur l’échange d’information en matière « policière » au sens large